Apple выпустила Safari Technology Preview 47 с исправлениями уязвимости Spectre

Zac Hall | Среда, 10 января, 2018, 05:24.

Zac Hall | 10 янв 2018 — 10:36 PT

Apple обновила Safari Technology Preview, свой браузер для разработчиков с экспериментальными веб-функциями, добавив исправления для уязвимости Spectre, раскрытой в начале этого месяца. Версия 47 доступна в Mac App Store или онлайн для пользователей Safari Technology Preview.

Хотя ее браузер для разработчиков получил обновление сегодня, Apple уже обновила официальную версию Safari в iOS 11, macOS High Sierra, macOS Sierra и macOS El Capitan через обновления программного обеспечения в понедельник.

Safari на iPhone и iPad включает исправления для защиты от Spectre с помощью iOS 11.2.2, в то время как macOS 10.13.2 получило дополнительное обновление для исправления Safari. Apple выпустила обновленные версии своего веб-браузера для macOS Sierra и macOS El Capitan для старых операционных систем.

На прошлой неделе Apple признала, что Safari потребуются дальнейшие обновления для устранения потенциальных проблем, связанных с недавно раскрытыми уязвимостями.

Затронуты все системы Mac и устройства iOS, но на данный момент нет известных эксплойтов, влияющих на клиентов. Поскольку для использования многих из этих проблем требуется загрузка вредоносного приложения на ваш Mac или iOS-устройство, мы рекомендуем загружать программное обеспечение только из надежных источников, таких как App Store.

Apple уже выпустила исправления в iOS 11.2, macOS 10.13.2 и tvOS 11.2 для защиты от Meltdown. Apple Watch не затронуты Meltdown. В ближайшие дни мы планируем выпустить исправления в Safari для защиты от Spectre. Мы продолжаем разрабатывать и тестировать дальнейшие исправления для этих проблем и выпустим их в будущих обновлениях iOS, macOS, tvOS и watchOS.

Вот полные примечания к выпуску Safari Technology Preview 47:

Storage Access API

Включены запросы из внешних
Реализован доступ к конкретному фрейму в слое document.cookie
document.hasStorageAccess() теперь получает текущий статус из сетевого процесса
Переработан XPC для удаления доступа, чтобы перейти напрямую от веб-процесса к сетевому процессу
Удален запрос confirm() в JavaScript при запросе доступа к хранилищу

Service Workers

Добавлена поддержка blob-ответов, передаваемых событиям fetch
Отменены ожидающие загрузки скриптов при завершении работы Service Worker
Изменен Service Worker для отображения режима перенаправления для загрузок навигации как ручной
Изменено извлечение тела типа Blob для установки Content-Type в null вместо пустой строки
Изменен режим перенаправления «error» для получения скриптов Service Worker
Изменен запрос на получение скрипта Service Worker для установки заголовка Service-Worker
Изменен Service Worker, чтобы не очищать HTTP-заголовки, добавленные приложением или спецификацией Fetch, перед перехватом Service Worker
Изменено повторное использование Service Worker документа для URL-адресов данных и URL-адресов blob
Включены User Timing и Resource Timing для Server Workers
Исправлена область действия по умолчанию при регистрации Service Worker
Исправлена ситуация, когда Promise регистрации Service Worker иногда не отклоняется при сбое загрузки скрипта
Исправлено искажение ответа Service Worker для сохранения его искажения
Исправлено scopeURL для начала с предоставленного scriptURL
Исправлено self.importScripts() для соблюдения updateViaCache внутри service workers
Исправлена обработка Fetch для ожидания активации состояния Service Worker
Исправлены SameOrigin и CORS fetch для сбоя при непрозрачных ответах, полученных от Service Worker
Исправлено использование кеша памяти для повторного использования ресурсов с разными параметрами запроса
Реализована политика реферера по умолчанию для «основного запроса»
Предотвращен поиск регистрации Service Worker для загрузок навигации, не связанных с HTTP
Поддерживается перехват Service Worker запроса с телом blob

Media

Включен режим «картинка в картинке» для встроенного элемента при приостановке
Исправлена ошибка отклонения промиса воспроизведения при вызове «pause(); play()» элементами воспроизведения медиа
Исправлен пропуск кадров во время воспроизведения Flash-видео
Реализован </span></li> </ul> <h4>Rendering</h4> <ul> <li>Исправлена система координат фильтров освещения SVG</li> <li>Исправлены элементы, анимированные на экране, которые иногда отсутствуют</li> <li>Исправлена установка цвета <span class="keyword">fePointLights</span></li> <li>Исправлен цвет нижнего правого пикселя <span class="keyword">feDiffuseLighting</span></li> <li>Исправлено преобразование цветов освещения SVG в <span class="keyword">linearSRGB</span></li> <li>Исправлен <span class="keyword">feLighting</span> с <span class="keyword">primitiveUnits=”objectBoundingBox”</span></li> <li>Обновлены деревья теней для элемента SVG <span class="keyword">use</span> явно перед вызовом стиля</li> </ul> <h4>Web Inspector</h4> <ul> <li>Вкладка Canvas включена по умолчанию</li> <li>Улучшена производительность открытия при перечислении системных шрифтов</li> <li>Исправлена ошибка Command-Option-R (⌘⌥R) в docked inspector, из-за которой Web Inspector перезагружался вместо проверяемой страницы</li> <li>Исправлена фильтрация URL во вкладке Network, чтобы она была нечувствительна к регистру, как и фильтры в других вкладках</li> <li>Исправлены неправильные размеры графов водопада во вкладке Network после закрытия представления деталей</li> <li>Переработан всплывающий элемент водопада, отображающий данные о времени в таблице вкладки Network</li> <li>Обновлен столбец Time в таблице вкладки Network, чтобы он включал общее время, а не только время загрузки</li> <li>Добавлена встроенная палитра для CSS-переменных в боковой панели Styles</li> <li>Добавлена поддержка ввода точки с запятой в конце значения для перехода к следующему свойству в боковой панели Styles</li> <li>Включена команда Command-S (⌘S) для сохранения изменений в соответствующем CSS-ресурсе в боковой панели Styles</li> <li>Исправлено выделение текста в боковой панели Styles, чтобы не добавлять новые свойства</li> <li>Исправлена ситуация, когда контекстное меню «Log Value» иногда было недоступно</li> <li>Исправлен выбор элемента DOM Tree в режиме RTL</li> <li>Исправлена ошибка, из-за которой панель поиска иногда не работала, когда она уже была заполнена и показывалась впервые для ресурса</li> <li>Исправлены снимки экрана Capture Element с нечетким изображением</li> <li>Исправлена загрузка CSS source maps</li> <li>Реализовано нажатие выше селектора для добавления нового свойства в боковой панели Styles</li> </ul> <h4>Clipboard API</h4> <ul> <li>Исправлена проверка среды выполнения Safari для включения пользовательских типов буфера обмена и очистки данных буфера обмена в Safari Technology Preview</li> <li>Исправлена невозможность вставки изображений в Gmail</li> <li>Отменено преобразование URL blob во вставляемом содержимом для клиентов LegacyWebKit</li> </ul> <h4>Bug Fix</h4> <ul> <li>Избегалось ненужное пробуждение процесса плагина</li> </ul> <hr/> <p style="text-align:center;"><a href="https://www.youtube.com/c/9to5mac?sub_confirmation=1">Подпишитесь на 9to5Mac на YouTube, чтобы получать больше новостей об Apple:</a></p> <div class="fluid-width-video-wrapper"><iframe allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" allowfullscreen="" frameborder="0" height="281" referrerpolicy="strict-origin-when-cross-origin" src="https://www.youtube.com/embed/QpRo-85XcL4?feature=oembed&rel=0" title="Hands-on: DJI's Osmo Mobile 2 iPhone stabilizer" width="500">