在 Pwn2Own 年度挑战赛上，Palo Alto Networks 的两位研究人员演示了 Firefox 的一个越界写入漏洞，赢得了 5 万美元奖金。另一位参赛者演示了 Firefox 的整数溢出漏洞。但两次漏洞利用都未能成功实现沙盒逃逸。Mozilla 安全博客称它最近改进了 Firefox 沙盒的架构，有效阻止了此类攻击。虽然两次漏洞利用都未能逃逸沙盒，但出于谨慎考虑，Mozilla 在漏洞披露的同一时间释出了 Firefox 138.0.4、Firefox ESR 128.10.1、Firefox ESR 115.23.1 和 Firefox for Android，修复了相关漏洞。

Rust 语言的第一个稳定版本 1.0 于 2015 年 5 月 15 日发布。为庆祝发布十周年，Rust 项目的开发者在荷兰的 Utrecht 举办了一场活动，宣布发布 Rust 1.87。新版本的主要新特性包括：标准库加入匿名管道（Anonymous Pipes），安全架构 intrinsics，通过 asm！内联汇编可跳转到 Rust 代码中的标记块，稳定 API 等等。

Mozilla 正式将 Firefox 源代码托管在 GitHub 上。Firefox Mercurial 服务器仍然开放并同步 GitHub 上的开发，因此短期内工作流程没有发生巨大改变。这一迁移只涉及 Firefox 源码库，不涉及 bug/问题跟踪、持续集成（CI）等功能。

Mozilla 正式释出了 Firefox 138，主要新功能包括：配置文件支持命名和自定义；美国用户的地址栏能显示天气建议；备受期待的标签纸功能正式提供给所有用户，用户可通过拖曳标签去创建标签组，标签组可以像标签一样通过拖曳改变位置，等等。Mozilla 官方博客表示，正在开发 AI 驱动的智能标签组功能，根据打开的标签页自动建议标签的组织形式，数据将在本地而不是云端处理，标签信息也保存在本地不会发送到云端服务器。

Google 旗下的 Chrome 浏览器是其搜索引擎关键的载体，为了限制 Google 对搜索引擎市场的垄断，美国司法部希望分拆 Chrome。如果 Google 真的要被迫出售 Chrome，那么已有多家公司对其表达了兴趣，其中包括了 Perplexity 和 OpenAI。现在曾经的互联网巨头雅虎也表态有意收购 Chrome。Chrome 估值多达数百亿美元，雅虎显然没有这么多钱。但它表示其母公司对冲基金巨头 Apollo 能为这笔收购提供资金。

Google 曾表示将在 Chrome 中逐步淘汰第三方 Cookies，改为其它替代方案如隐私沙盒（Privacy Sandbox），隐私沙盒跟踪用户的兴趣，允许广告商根据兴趣展示广告，而用户可以管理兴趣并对其归类分组。但隐私沙盒的推行并不顺利。现在 Google 表示 Chrome 将继续使用第三方 Cookies。负责隐私沙盒的 Google 高管 Anthony Chavez 表示此举并不意味着隐私沙盒项目的终止，部分成果还会继续推进，比如将为 Chrome 隐身模式用户提供 IP Protection。

Tor Browser 项目释出了 14.5。主要变化包括：Android 版本支持 Connection Assist，加入了白俄罗斯语、保加利亚语和葡萄牙语支持。Connection Assist 被用于在无法直连 Tor 网络之后寻找和尝试连接网桥。开发者表示，为 Android 版本加入 Connection Assist 需要重构跨平台的 Tor 集成，现在这一工作基本完成。

Firefox Application Security Team 安全团队在其博客 Attack & Defense 上发表文章，介绍了在加固 Firefox 前端上所做的工作。Firefox 的大部分 UI 是使用标准 Web 技术如 HTML、CSS 和 JavaScript 实现的，这么做的好处是可以在所有桌面操作系统上使用浏览器引擎渲染前端，缺陷是容易受到注入攻击。最常见的注入攻击是跨站脚本（Cross-Site Scripting 简写 XSS）攻击。为缓解 Firefox UI 的 XSS 和其它注入攻击，安全团队重写了逾 600 个 JavaScript 事件处理程序。这些代码将应用于 Firefox 下一个版本 v138(目前的稳定版本是 Firefox 137)。安全团队表示通过消除一整类攻击类型，他们大幅提高了攻击者利用 Firefox 的门槛。

自由软件邮件客户端 Thunderbird 面临来自 Gmail 和 Office365 等强大对手的竞争，它们既提供了邮件服务又提供客户端，要吸引用户离开这些私有平台，Thunderbird 需要提供一套替代服务。这就是 Thunderbird Pro 付费服务的目的。Thunderbird Pro 包括了：邮件服务 Thundermail，其域名将是 Thundermail.com 或 tb.pro；日程安排工具 Appointment；文件共享工具 Thunderbird Send（源自 Firefox Send）；与 Flower AI 合作提供 AI 辅助邮件助手 Assist，鉴于部分用户对 AI 的敏感性，该功能是可选使用。Thunderbird Pro 将免费提供给长期的社区贡献者，其他用户则需要付费使用。Mozilla 董事总经理 Ryan Sipes 表示，一旦用户群足够大，服务能持续下去，那么他们将会开放有限制的免费套餐，比如较小的文件共享存储空间，等等。

Mozilla 在 4 月 1 日释出了 Firefox 137。主要新特性包括：Linux 版本支持 HEVC 播放；能识别 PDF 文件中的所有链接并将其转变为超链接；签名 PDF 文档；支持将地址栏作为计算器使用，用户只需要输入算术表达式就可以在下拉列表中查看结果，单击复制到剪切板，该功能将逐步推出；允许用户在水平和垂直标签布局之间切换；更新 Inspector Fonts 面板以显示字体元数据如版本、设计者、供应商、许可证等；更新 Network 面板以允许使用本地文件覆盖网络请求响应，支持 SVG 2 path API 和 hyphenate-limit-chars 属性，等等。

在 Signal 门事件之后，该加密应用在美国和也门的下载量大幅飙升。在 Signal 群聊中泄漏军事机密与该应用本身的功能无关。根据应用情报公司 Appfigures 的数据，当大西洋月刊周一公开 Signal 门事件后，iOS 和 Google Play 两大应用商店中 Signal 下载量比过去 30 天的日均下载量增长了 28%，其中美国地区周一下载量增长了 45%，也门地区的下载量增长了 42%。此前 Signal 在也门的社交媒体应用中排名第 50 位，周一攀升至第 9 位。Signal 是端对端加密消息应用，它的信息在传输过程中不会被人窃取，但如果你在群聊中加入了一名记者，那么任何加密方法都无法阻止泄密。

Vivaldi 创始人谭咏文（Jon von Tetzchner）宣布，这款基于 Chromium 的浏览器整合了 Proton VPN。 谭咏文宣称，Web 正在变化。在一个日益被科技巨头和垄断企业所定义的世界里，用户正在觉醒。他们选择隐私而不是被人剖析研究、选择主权而不是被监视、选择独立而不是惰性。这种变化的核心是尊重用户而不是剥削用户的工具。这是为什么 Vivaldi 要整合 Proton VPN。

Mozilla 过去几年的做法比如拥抱 AI 可能会让 Firefox 用户感到不满。他们可能会想迁移到其它浏览器。但对大部分 Firefox 用户而言，Chrome 或基于 Chromium 的浏览器显然是一种更差的选择，那么可行的选择就剩下了 Firefox 的分支。
Firefox 的分支存在已久。因 Mozilla 的商标使用政策，自由软件发行版 Debian 维护了一个分支 Iceweasel，该项目于 2016 年终止。GNU 项目也采用了 Iceweasel，它后来改名为 GNU IceCat，并一直维护至今，基于 Firefox 115.20.0 的 IceCat 115.20.0esr 是最新的 ESR 版本。GNU IceCat 与 Firefox 的最明显区别是用 LibreJS 替代 JavaScript，此举可能导致大量网站不能正常工作。IceCat 适合那些拥护自由软件精神而不在意功能的用户。
Floorp 是另一个分支，由日本学生社区 Ablaze 开发，Floorp 最初是基于 Chromium，2022 年切换到 Firefox，第一个版本是 Floorp v7，最新版本是 基于 Firefox ESR 128.8.0 的 Floorp 11.23.1。
始于 2020 年的 LibreWolf 项目主要从 Firefox 中移除非自由功能，如遥测、DRM、Pocket 集成，禁用了 Firefox Sync 同步功能，LibreWolf 的最新版本是基于 Firefox 135 的 135.0.1。
Zen 浏览器项目是最新的 Firefox 分支，目前处于 beta 阶段，最新版本是基于 Firefox 135.0.1 的 1.8.2b，它的用户界面与 Firefox 有很大区别。
其它分支还有 Basilisk、Waterfox、Pale Moon 等。但所有分支都依赖于 Mozilla 完成大部分开发工作。

运行旧版本 Firefox 的用户可能已经收到了警告信息：Firefox 的一个根证书将于 2025 年 3 月 14 日过期，如果用户不更新浏览器，那么届时扩展可能会被禁用，而需要 DRM 的流媒体服务也可能会停止工作。该问题不会影响运行最新或较新版本的 Firefox 用户。用户需要在 3 月 14 日前将浏览器升级到 Firefox 128+ 或 ESR 版本 Firefox 115.13+，才能在 Windows、macOS、Linux 和 Android 平台上正常工作。证书过期还会影响 Firefox 内置安全工具的更新，如屏蔽恶意扩展的黑名单，SSL 证书撤销列表等安全功能。

Google Chrome 从去年六月开始逐步淘汰 Manifest V2 扩展，强推 Manifest V3 扩展，而基于 Manifest V2 的流行广告屏蔽扩展 uBlock Origin 正是 Google 淘汰的对象之一。Chrome 用户已经报告他们安装的 uBlock Origin 被浏览器自动禁用，不过目前还可以在扩展管理页面手动启用。随着 Chrome 移除对 Manifest V2 扩展的支持，那么对 Chrome 用户而言 uBlock Origin 届时将变得完全不可用。现在 Chrome 的扩展应用商店 Chrome Store 已经停止提供 uBlock Origin 的下载。根据商店页面的统计数据，uBlock Origin 有 3800 万用户。目前支持 uBlock Origin 的主流浏览器是 Firefox。

美国司法部周五在递交到法庭的文件中重申了去年 11 月提出的要求：出售 Chrome 以及终止默认搜索引擎交易。司法部去除了要求 Google 出售其在 AI 创业公司所持有股份的要求，因为 Google 投资的 AI 创业公司 Anthropic AI 表示要在快速发展的行业展开竞争需要来自 Google 的资金。司法部要求 Google 必须剥离 Chrome 浏览器，为新的竞争对手提供机会，运营一个重要的互联网搜索门户，摆脱 Google 的垄断控制。Google 发言人回应称，司法部的提议将损害美国的消费者、经济以及国家安全。

Mozilla 释出了 Firefox 136。主要新特性包括：Linux 版本首次正式提供了 AArch64 (ARM64)架构的二进制包；Linux 版本支持 AMD GPU 硬件视频解码；HTTPS-First，默认页面加载 HTTPS，如果安全连接失败则回滚到 HTTP；垂直标签布局；新的浏览器布局部分；PNG 拷贝支持；Smartblock Embeds 允许用户选择性的解除对网页中嵌入的社媒的屏蔽；Solo AI Link；新标签页上的天气预报；等等。

很多程序员们可能没有意识到，写代码只是工作的一小部分，可能也是其中最轻松的一部分，维护才是工作中最繁琐最具有挑战性的部分。维护工作包含了测试、诊断和修 Bug、优化性能、更新以适应其它改变、代码重构、客户支持、写文档并随时间修改文档。如果一个大型项目吸引了社区开发者免费贡献扩展，听起来是好事，但几年后如果发现该扩展存在 bug 或问题但原作者却销声匿迹，这就演变成了维护噩梦。

在 Google Chrome 之后，Microsoft Edge 准备淘汰 Manifest V2 扩展开始禁用 uBlock Origin。最新的 Edge Canary 版本禁用了 Manifest V2 扩展，并显示信息称该扩展不再被支持，Microsoft Edge 建议将其移除。对于被自动禁用的扩展如 uBlock Origin，用户目前暂时还可以在扩展管理中手动启用。

Mozilla 首次公布了 Firefox 的使用条款，并更新了隐私条款。Mozilla 称 Firefox 以前是基于开源许可证和承诺，在不同的科技格局下需要让承诺更清晰易懂。在使用条款中，Mozilla 声明：“当您通过 Firefox 上传或输入信息时，您特此授予我们非排他性、免版税的全球许可，以使用该信息来帮助您导航、体验在线内容并与之交互，就像您在使用 Firefox 时所表明的那样。”很多人认为这句话的指代含义不太明确。在更新的隐私条款中 Mozilla 对收集的数据进行了更详细的说明，对于数据：“我们仅在本隐私声明所述目的所需的期限内保留您的个人数据。一般而言，我们保留个人数据的时间不超过 25 个月，但实际保留期限可能因数据类型及其收集目的而异（例如，我们会在您使用 Firefox 期间保留您的“首次使用”日期，以便了解您使用 Firefox 的时间）。具体保留期限还可能取决于数据的敏感性、收集背景、您的设置和偏好，以及我们保留或删除数据的法律或合同义务，例如用于欺诈预防、法规遵从或服务连续性。一旦保留期限到期，我们将安全删除您的数据，除非法律另有要求。”