Pale Moon 34.2.0

Nieuwe functies

• ES2018 Proxy ownKeys duplicate-key invariant geïmplementeerd.
• De Error.cause-eigenschap is geïmplementeerd in ES2022.
• Ondersteuning voor de kleurruimten oklab en oklch is toegevoegd aan CSS.
• ES2024 object.GroupBy geïmplementeerd.
• De rest van het ES2023 Change Array by Copy-voorstel is geïmplementeerd (toSpliced(), with() en TypedArray-versies van toReversed(), toSorted() en with()).
• AudioNode-constructors geïmplementeerd.
• Ondersteuning voor geneste CSS-grammatica is geïmplementeerd.
• De globale variabele window.MathMLElement is geïmplementeerd.

Wijzigingen/correcties

• Een crash gerelateerd aan het gebruik van WeakRef is verholpen.
• Opgeloste crashes door stackuitputting als gevolg van await op het hoogste niveau in modules.
• We hebben onze expat-parserbibliotheek bijgewerkt naar versie 2.7.4, waarmee diverse problemen zijn opgelost.
• De functie url.CanParse() is bijgewerkt om aangepaste schema's toe te staan.
• Het document.currentScript is bijgewerkt om overeen te komen met de huidige specificatie.
• Een crash veroorzaakt door oneindige recursie is verholpen.
• Een crash op macOS, veroorzaakt door WebGL-attribuutarrays, is verholpen.
• Een crash gerelateerd aan pointer @media queries in CSS is verholpen.
• Een crash gerelateerd aan de spellingscontrole bij het verwerken van invoervelden in Shadow DOM is verholpen.
• Toekomstbestendige verwerking van witruimte in ParseDate, rekening houdend met het gebruik van witruimte in Unicode-variabelen.
• Irrelevante pluginvoorkeuren zijn verwijderd wanneer pluginondersteuning niet in de browser is ingebouwd (niet-standaard builds/forks).
• Verbeterde ondersteuning voor de minimalloc-geheugenallocator.
• Verbeterde ondersteuning voor LoongArch CPU's.
• Er is een speciale afhandeling toegevoegd voor bepaalde systeemlettertypen van macOS.
• Overbodige code voor niet-ondersteunde Itanium-, 32-bits Sparc- en andere oude architecturen is verwijderd.
• Er is een tijdelijke oplossing toegevoegd voor het formaat wijzigen van afbeeldingen in CloudFlare, omdat dit een minder transparante URL-verwerking vereist.
• Deze workaround wordt beheerd met de nieuwe voorkeur network.url.cloudflare_image_resizing.enabled (standaard true). Zie de implementatie-opmerkingen.
• Opgeloste beveiligingsproblemen: CVE-2026-4707 (DiD), CVE-2026-4690 (DiD), CVE-2026-4727 (DiD) en andere zonder CVE-aanduiding.
• Een opmerking: de voor Mozilla relevante beveiligingsproblemen CVE-2025-59375 en CVE-2026-4726 waren al in de browser verholpen vóór deze release.

Implementatie-aantekeningen

• CloudFlare biedt zijn klanten een service voor het verkleinen van afbeeldingen, waarbij een complexe tekenreeks in de URL wordt gebruikt om het verkleiningsproces te beheren. De oplossing die in deze versie is geïmplementeerd, behandelt alles na /cdn-cgi/image/ als ondoorzichtige padgegevens (op alle websites, gezien de wijdverspreide aard van CloudFlare als CDN, op veel topdomeinen). Zonder deze oplossing werkt het verkleinen van afbeeldingen op deze manier niet en resulteert dit in HTTP 403-fouten (verboden toegang).
• Deze workaround verstoort onze normale manier van URL-parsing. Als dit problemen veroorzaakt met sites die dit specifieke padvoorvoegsel gebruiken, probeer dan de voorkeur aan te passen (naar 'false' om deze workaround uit te schakelen) en kijk of dat helpt. Laat het ons weten (op het forum of in de repository).

Nieuwe functies

• Xoroshiro128++ JavaScript PRNG opnieuw geïmplementeerd om het robuuster te maken met behoud van hoge prestaties.
• Dit was eerder teruggedraaid vanwege intermitterende problemen en crashes.
• JavaScript SubmitEvent-ondersteuning voor HTML-formulieren geïmplementeerd.
• JavaScript requestSubmit() voor HTML-formulieren geïmplementeerd.
• JavaScript toSorted() geïmplementeerd.
• JavaScript toReversed() geïmplementeerd.
• Ondersteuning voor top-level await voor JavaScript-modules geïmplementeerd. Zie implementatieopmerkingen.
• CSS-mediaquery's voor pointers en hover geïmplementeerd.
• Hardwareversnelde decodering voor VP9-video's ingeschakeld (waar mogelijk).

Wijzigingen/fixes

• Onze expat-bibliotheekupdate opnieuw geïmplementeerd, met fixes voor het parseren van grote attributen.
• De JPEG-XL-bibliotheek bijgewerkt naar 0.11.2 om beveiligings- en prestatiefixes door te voeren, en een spot-fix toegepast voor big-endian hardware.
• Libtheora bijgewerkt naar 1.2.0.
• Libvpx is bijgewerkt naar 1.16.0 met verschillende fixes om compatibiliteit met oudere MacOS- en PowerPC-platforms te behouden.
• Pale Moon staat vanaf deze versie ongecodeerde websocket-verbindingen met localhost-adressen toe, zelfs wanneer het oproepende document gecodeerd werd aangeboden.
• Een probleem in de nieuwe Cascade Layers-implementatie dat problemen veroorzaakte met UI-elementen en extensies is opgelost.
• Verschillende problemen met de nieuwe ICU-bibliotheekimplementatie in UXP zijn opgelost:
• Een probleem opgelost waarbij onverwachte Unicode-spaties in datumstrings werden geretourneerd in plaats van standaardspaties, wat problemen veroorzaakte met webscripting.
• Een probleem opgelost met meervoudsvormen voor Shuar, Welsh en verschillende Slavische talen.
• Een probleem met letterpunten in het Litouws is opgelost.
• Een probleem met woordafbreking in het Tibetaans is opgelost.
• Een intermitterende browsercrash in verband met het verwijderen van gecachete afbeeldingsgegevens is opgelost en de afhandeling van afbeeldingsgegevens in de cache is in het algemeen verbeterd.
• De compatibiliteit met Mac op PowerPC-hardware is verder verbeterd.
• Ondersteuning voor bouwen op 32-bits MacOS 10.6 is hersteld.
• Diverse fixes toegepast voor bouwen op MacOS 10.5 (Leopard) en 10.6 (Snow Leopard).
• Problemen met runtime op FreeBSD 15.* opgelost.
• Probleem met het toepassen van afbeeldingsfilters op big-endian-hardware opgelost.
• Probleem opgelost waardoor gebundelde lettertypen niet goed werkten op andere doelen dan Windows of Linux-GTK.
• PerformanceObservers standaard ingeschakeld. Zie implementatieopmerkingen.
• Beveiligingsproblemen opgelost: CVE-2026-2806 (DiD), CVE-2026-2758, CVE-2026-2804, CVE-2026-2787 (DiD), CVE-2026-2757, CVE-2026-2773, CVE-2026-2779 (DiD), CVE-2026-2775 en verschillende andere die geen CVE-aanduiding hebben.

Implementatieopmerkingen

• Top-level await voor JavaScript-modules is geïmplementeerd. Hierdoor kan het await-sleutelwoord op het hoogste niveau worden gebruikt zonder een wrapper om pseudo-synchrone verwerking in asynchrone modules af te dwingen. Hiermee is de laatste mijlpaal van onze ES2022-compatibiliteit bereikt. Het ontbreken hiervan zou er met name toe leiden dat websites die bepaalde frameworks gebruiken volledig leeg worden weergegeven. Veel dank aan de beheerder van Basilisk voor het realiseren van deze implementatie voor UXP.
  
  
• PerformanceObservers is een op webontwikkeling gerichte API waarmee gedetailleerde timinggegevens van webpagina's kunnen worden geregistreerd. Hoewel deze API bedoeld is voor het opsporen van prestatieknelpunten en dergelijke door webontwikkelaars, wordt deze door steeds meer websites gebruikt in productiesites (voornamelijk voor analyse, maar in meer dan een paar gevallen ook voor basisfunctionaliteit van de websites). Pale Moon had de optie om ze indien nodig per geval in te schakelen (in Voorkeuren -> Privacy, het tabblad "Tracking"), maar ze bleven standaard uitgeschakeld vanwege de voor de hand liggende gevolgen voor de privacy als deze API voor alle sites beschikbaar zou zijn. Helaas is dit inmiddels zo'n groot probleem voor de webcompatibiliteit geworden dat we ze standaard hebben moeten inschakelen.

• De update van de expat-bibliotheek is teruggedraaid omdat deze geheugenoverbelasting en browserstoringen veroorzaakte bij XUL/XML- en SVG-bestanden met bijzonder grote attributen.
• De wijziging van de Javascript PRNG is teruggedraaid omdat deze intermitterende problemen en crashes veroorzaakte op 32-bits platforms.