Kurz notiert – März 2023

Kurz notiert

Die Linux Foundation hat mit der Open Metaverse Foundation eine neue Unterorganisation gegründet. Die Stiftung soll Standards für ein herstellerneutrales Metaverse entwickeln.

Die Abmahnwelle wegen Google Fonts hat in Österreich Schäden von mehr als 5 Millionen Euro verursacht. Darauf deutet die Einschaltung der Wirtschaftsstaatsanwaltschaft (WKSta) hin, die erst ab diesem Betrag aktiv wird.

Das World Wide Web Consortium (W3C) hat seine Umwandlung in eine gemeinnützige Non-Profit-Organisation abgeschlossen. Zuvor war das Konsortium ein Zusammenschluss von Bildungs- und Forschungseinrichtungen ohne eigenen Rechtsstatus.

Bei der aktuellen Firefox-Version 109 hat Mozilla die wegen Einschränkungen für Adblocker umstrittene Plug-in-Schnittstelle Manifest V3 als Standard aktiviert. Manifest V2 ist aber noch vorhanden und wird von Mozilla unterstützt.

Mozilla Firefox: JPEG XL muss draußen bleiben

Wie bereits Chrome soll auch Firefox das Grafikformat JPEG XL nicht unterstützen. Mozilla hält dies nicht für notwendig, da es im Vergleich zu anderen Formaten zu wenig Vorteile biete.

Firefox wird das vielseitige und ressourcensparende Grafikformat JPEG XL in absehbarer Zeit nicht darstellen. Das gab Mozillas Distinguished Engineer Martin Thomas auf der GitHub-Seite des Projekts bekannt. Man sei gegenüber dem Format „neutral“ – was bedeute, dass man es in stabilen Firefox-Versionen nicht erlaube, auch nicht optional, obwohl dies technisch mit wenig Aufwand möglich ist.

Mozilla unterstütze neue Formate nur, wenn sie Bedürfnisse der Nutzer und Websitebetreiber adressieren, so Thomas. JPEG XL habe zwar einige potenzielle Vorteile, sei aber gegenüber Mitbewerbern wie AVIF nicht so viel performanter und vielseitiger, dass es die Aufnahme in den Browser rechtfertige. Damit übernimmt Thomas das Argument, das bereits führende Chrome-Entwickler ins Feld führten. Google hatte sich im Herbst 2022 dagegen entschieden, das Format in seine Browser-Engine aufzunehmen.

Befürworter argumentieren damit, dass JPEG XL die bessere Alternative sowohl für klassische Pixel-Formate wie JPEG und PNG als auch für die von Videocodecs abstammenden animationsfähigen Standards wie WebP oder AVIF sei. Auch hatten sich in der Vergangenheit Unternehmen wie Intel, Adobe, Meta oder Shopify hinter das Format gestellt. Bisher können bei den Browsern nur Nischenprodukte JPEG-XL-Dateien anzeigen, darunter Firefox-Derivate wie Waterfox oder Pale Moon. (ulw@ix.de)

Browser-Engine Servo mit neuer Finanzierung nach langer Pause wiederbelebt

Nach über zwei Jahren ohne nennenswerte Aktivitäten hat das Entwicklerteam der Browser-Engine Servo die Arbeit wieder aufgenommen. In einem Blogbeitrag kündigten die Entwickler eine neue externe Finanzierung an, die die Fortführung ermögliche – ohne jedoch die Geldgeber zu nennen. Bereits im Dezember hatte die Entwicklergenossenschaft Igalia bekannt gegeben, dass sich vier ihrer Mitarbeiter künftig der Weiterentwicklung von Servo widmen werden. Bei Igalia arbeiten renommierte Browserspezialisten, die zu den verbreiteten Engines Chromium und WebKit wichtige Beiträge leisten.

Servo ist eine in Rust implementierte Browser-Engine, die 2012 als Mozilla-Projekt an den Start ging. Sie sollte im Rahmen des Projekts Quantum in Firefox integriert werden, dazu kam es jedoch nie. 2020 wanderte Servo in der Folge einer Entlassungswelle bei Mozilla zur Linux Foundation, aber auch dort schlief die Aktivität bald wieder ein.

Jetzt gibt es eine neue Roadmap für 2023. In diesem Jahr sollen neben Aufräumarbeiten bei den Dependencies das Layoutsystem und die Umsetzung von CSS2 im Fokus stehen. (ulw@ix.de)

Malvertising-Welle bei Google-Suchen

Mehrere Sicherheitsforscher beobachten einen starken Anstieg von Malvertising über Google Ads. Immer mehr der bei Google-Suchen eingeblendeten Anzeigen verlinkten auf Schadsoftware statt auf beliebte Programme wie Adobe Reader, Slack, Gimp oder Thunderbird. Securityexperten bei Spamhaus vermuten, dass eine Cybercrime-Gruppe damit begonnen hat, Malvertising als Service zu vermarkten. Ein Hinweis darauf sei unter anderem, dass bei gleichlautenden Suchbegriffen Links auf unterschiedliche Schädlinge auftauchen.

Die Securityfirma SentinelOne hat eine Malware-Kampagne identifiziert, die auf bösartige Loader für .NET verlinkt. Am häufigsten versuchen die Angreifer derzeit, XLoader zu installieren, einen Nachfolger von FormBook, der Passwörter, Kontaktdaten und andere sensible Informationen stiehlt. (ulw@ix.de)

Chrome-Updates nur noch ab Windows 10

Mit dem Erscheinen von Chrome in Version 110 bekommen die Versionen für Windows 7, 8 und Windows Server 2012 keine Sicherheitsupdates mehr. Microsoft hat den erweiterten Support für diese Betriebssysteme bereits ab Januar eingestellt. In Chrome 110 hat Google 15 Sicherheitslücken geschlossen, drei davon mit Risikoeinstufung „hoch“.

Mit Version 110 von Chrome kommt es zu einer Änderung im Releasezyklus. Künftig gibt es für ausgewählte Nutzer eine Early-Stable-Version, die eine Woche vor dem eigentlichen stabilen Release erscheint. Google will damit in der Lage sein, noch vor dem Veröffentlichen der stabilen Version auf Probleme bei Anwendern zu reagieren. (ulw@ix.de)