11 月 8 日，加拿大 Calgary 大学教授 Joel Reardon 和 UC 伯克利的 Serge Egelman 在 Mozliia 的邮件列表上报告，他们发现 TrustCor CA 与间谍软件开发商 Measurement Systems 和 Packet Forensics 存在千丝万缕的关系，其中后者是一家美国军方的承包商。虽然没有发现 TrustCor 签发了有问题的证书，两位研究人员对这一关联性表达了担忧。TrustCor 的高管 Rachel McPherson 在邮件列表上做出了回应，否认与 Measurement Systems 或 Packet Forensics 有任何业务往来或任何关联，但其回应未能令人满意。Mozilla Firefox 和 Microsoft Edge 宣布将停止信任 TrustCor 签发的新证书，其他浏览器开发商预计将会很快跟进。

Google 释出了紧急更新修复了一个正被利用的 Chrome 桌面浏览器 0day，这是今年 Chrome 的第 8 个 0day。该高危漏洞编号为 CVE-2022-4135，为 GPU 中的一个堆溢出漏洞，由 Google Threat Analysis Group 的 Clement Lecigne 在 11 月 22 日发现。在大部分用户完成更新前 Google 没有披露漏洞细节，它建议桌面用户立即更新到新版本 107.0.5304.122 。Google Chrome 今年发现的前 7 个 0day 是 2 月 14 日的 CVE-2022-0609、3 月 25 日的 CVE-2022-1096、4 月 14 日的 CVE-2022-1364、7 月 4 日的 CVE-2022-2294 、8 月 17 日的 CVE-2022-2856、9 月 2 日的 CVE-2022-3075，10 月 28 日的 CVE-2022-3723。

内存问题是 Windows 版 Firefox 发生崩溃的主要原因。Windows 上运行的应用程序比其它操作系统上的程序更容易发生内存耗尽问题，这与 Windows 处理内存的方式有关。现代操作系统都允许应用分配一块地址空间，当应用使用其保留的地址空间时，系统会用一块物理内存支持它，如果需要会交换部分现有数据。Linux 和 macOS 都是如此工作，但 Windows 多了一个步骤。它需要应用在请求使用其保留的地址空间前先递交使用范围，确保系统能找到可用物理内存。Windows 为此限制了递交内存用量在物理内存和交换文件大小之和内。这种递交空间（commit space）是应用面对的硬限制。达到这个限制，内存分配会失败。Firefox 开发者在分析浏览器崩溃问题时发现用户机器上的可用物理内存仍然很多，但递交空间却耗尽了。他们不知道为什么会发生这种情况，但认为可以用一些技巧规避这一问题：当内存分配失败时，浏览器不是立即崩溃，而是先等待下，然后尝试重新内存分配。这会导致浏览器卡住短暂的几分之一秒，但比崩溃好得多。Firefox  105 中应用了这一技巧，显著改进了浏览器的稳定性。

小C同学的粉丝 写道 "凹语言是国内 Gopher 发起的纯社区构建的开源国产编程语言项目（没有公司背景、没有任何赞助）。同时凹语言也是国内第一个实现纯浏览器内编译、执行全链路的自研静态类型的编译型通用编程语言。目前官方的“凹语言、图灵机和 BF 语言”文章，给出了一个简化版本的 BrainFuck 语言虚拟机实现。官方表示“既然可以通过凹语言实行一个 BF 虚拟机那么凹语言必然也是图灵完备的，下一次希望通过凹语言构建更为复杂有趣的程序。”希望国产凹语言能够带来更多的惊喜，让我们拭目而待。"

Mozilla 释出了 Firefox 107。这次更新变化较少，主要是改进了 Windows 11 v22H2 下微软 IME 和 Defender 在检索当前文档 URL 时的性能，可视化浏览器性能数据的 Power profiling 支持使用英特尔 CPU 的 Linux 和 Mac 操作系统，bug 修正，开发者工具改进，等等。

小w同学 写道 "凹语言™（凹读音 “Wa”）是国内 Gopher 针对 WASM 平台设计的的通用编程语言，支持 Linux、macOS 和 Windows 等主流操作系统和 Chrome 等浏览器环境，同时也支持作为独立 Shell 脚本和被嵌入脚本模式执行。主页：https://wa-lang.org 。v0.3.1 更新内容：1. 完善 WAT 后端, 支持多包； 2. LLVM 后端支持基本数值运算 (依赖 clang 和 llc) ；3. wazero 更新到 v1.0.0-pre.3。"

Windows 用户可能都有类似的经历，试图删除一个文件，结果被告知文件正在被使用，但在任务管理器中你不知道文件是被哪个进程使用。现在 Windows 11 和 Windows 10 上的工具 PowerToys 释出了更新，加入了名叫 File LockSmith 的功能让用户知道哪一个进程在使用哪个文件，安装之后选定某个文件或某个文件夹右键，可以选择查看哪个进程在使用该文件。PowerToys 发布在 GitHub 上。

Mozilla 建议 Firefox 扩展开发者开始从 Manifest V2 迁移到 Manifest V3。Manifest V3 是 Google Chrome 的新扩展系统，Chrome Web Store 将从明年 1 月开始逐步淘汰 Manifest V2 扩展。Mozilla 的 Manifest V3 与 Chrome 的 Manifest V3 有所区别，其中包括：Services Workers 尚未提供，Firefox 使用 Event Pages 作为后台脚本，根据功能两者之间或可替换使用；declarativeNetRequest（DNR）未提供，Firefox 将保留被 DNR 取代的 WebRequest API——这是新扩展系统引发广泛争议的地方，广告屏蔽扩展如 uBlock Origin 使用 WebRequest 在广告下载前屏蔽其请求；storage.session API 尚未提供。

Mozilla 释出了 Firefox 106.0.3，修复了与最新版本 Windows 11 22H2 的兼容性问题。Windows 11 22H2 默认启用的剪切板功能 Suggested Actions 在拷贝文本时会导致浏览器挂起停止响应一段时间，时间长短似乎与加载的扩展数量有关，从几十秒到几分钟不等。Firefox 106.0.3 修复了导致该问题的 bug，它还同时修复了一个启动崩溃问题。

Google 工程师递交了一个补丁，准备在 Chrome 110 中移除对实验性的 JPEG-XL 图像格式的支持。Google 工程师解释说，整个生态系统对 JPEG-XL 格式缺乏兴趣，相比现有的格式新格式没有带来足够的增量收益，通过移除相关代码可以减轻维护负担专注于改进现有格式。Google 的解释令人感到意料，因为 JPEG-XL 的比特流直到 2020 年才确定，它到 2021 年才标准化，它只有短短一年历史就要求生态系统对它有足够的兴趣是强人所难了。

Meta/Facebook 透露它开发 Android 应用使用的语言从 Java 迁移到了 Kotlin，而 Kotlin 的代码行数突破了一千万。Kotlin 相对于 Java 的优势包括：内置为空性（nullability）处理，支持内联函数和 lambda 表达式，代码更短，能定义 DSL（Domain-specific language）。缺点是需要在很长时间内面对混合代码库，而 Kotlin 的流行度仍然远逊于 Java——Java 是世界第二大或第三大流行的语言。

Google 宣布其 Chrome 浏览器将从 2023 年 2 月起停止支持 Windows 7 / 8.1。Google Chrome 支持经理称，计划于明年 2 月 7 日发布的 Chrome 110 将终止对 Windows 7 / 8.1 的支持，用户设备需要 Windows 10 及以上版本才能运行 Chrome 未来版本。Google 终止支持的决定与微软 Windows 生命周期政策一致，软件巨人计划于 2023 年 1 月结束 Windows 7 / 8.1 的扩展安全更新支持。目前 Windows 7 在操作系统市场的占有率仍然逾 10%，而 Windows 8.1 只有 2.7%。

Mozilla 释出了 Firefox 106。主要新特性包括：支持 PDF 编辑，包括输入文本、绘图和签名；在 Windows 下设置 Firefox 为默认浏览器也将设置 Firefox 为默认 PDF 浏览器；支持在 Windows 任务栏固定新建隐私窗口，简化隐私模式访问；Linux 下的滑动导航支持 Wayland；Firefox View 允许用户寻找和打开最近关闭的标签；一组新的配色方案，等等。

匿名读者 写道 "凹语言™（凹读音 “Wa”, 主页 https://github.com/wa-lang/wa ）是 国内 Gopher 针对 WASM 平台设计的的通用编程语言，支持 Linux、macOS 和 Windows 等主流操作系统和 Chrome 等浏览器环境，同时也支持作为独立 Shell 脚本和被嵌入脚本模式执行。近日 JetBrains 宣布首次公共预览 Fleet，凹语言在第一时间增加了对 Fleet 的语法高亮支持。
细节请参考 https://wa-lang.org/smalltalk/st0015.html"

Mozilla 的一项服务 Firefox Relay 能为用户生成随机电邮地址，保护用户真正的电邮地址免受广告商和垃圾信息发送者的侵扰。Firefox Relay 会将随机电邮地址的邮件转发给用户真正的邮箱，如果用户收到的邮件是垃圾信息，用户可以删除该电邮地址。现在 Firefox Relay 扩大到了为用户生成虚拟电话号码，避免广告电话或短信的侵扰。今天很多服务都需要用户提供电话号码，比如需要手机接收验证码。如果你担心手机号码会被共享会被用于打广告电话，那么 Firefox Relay 的虚拟电话号码能隐藏你真正的手机号码。电话隐藏服务需要付费，每月 5 美元能提供 50 分钟的通话和 75 条短信，电邮隐藏服务则有免费和付费两种选项。

macOS 用户可能注意到 Firefox v103 版本的响应有了显著改进，尤其是在打开大量标签的情况下。Firefox 的内存分配器在 macOS 平台依赖于系统自带的 OSSpinLock 去执行自旋锁(spin lock)和互斥量(mutex)功能。但 OSSpinLock 的自旋锁存在基础性缺陷，它是在用户空间内执行的，用户空间并不知系统负载信息，如果是在内核空间则能根据负载做出合理决策，用户空间锁则可能在系统高负载的情况下执行自旋锁结果增加了额外负载。苹果知道 OSSpinLock 的问题，它提供了 os_unfair_lock 作为 OSSpinLock 的官方替代。但开发者在测试后发现 os_unfair_lock 反而会导致性能下降，进一步分析发现 os_unfair_lock 支持内核空间锁，但并没有在文档中记录下来。在启用了 os_unfair_lock 的内核空间自适应自旋锁之后，Firefox 的响应有了显著改进。该功能需要 macOS 10.15 及以上版本才能支持。

上周发布的 ISC DHCP v4.4.3-P1 和 4.1-ESV-R16-P2 将是最后一个维护版本，除非发现非常严重的安全漏洞，ISC 没有计划继续发布更新。项目的代码库将停止维护，用户仍然可以递交补丁和问题，但没人再去解决问题或发布补丁了。ISC DHCP 或 dhcpd 是动态主机设置协议（DHCP）的服务器程序，至今有 23 年历史，ISC 结束这个项目是因为它不是为可测试性设计的，修改代码的风险性非常高，因此过去几年它越来越少的修改代码，它创造了名叫 Kea 的新 DHCP 服务器程序，并建议使用旧版本的用户切换到该版本或其它替代。

虚拟机软件 VirtualBox 释出了 7.0.0 版本。主要新特性包括：支持完全加密，包括虚拟机配置日志和保存状态（CLI only）；云端虚拟机能被加入到 Virtual Machine Manager，像本地虚拟机那样控制；DirectX 11 3D 加速支持；Secure Boot 支持；通过 Network Manager 工具配置云端网络；等等。

微软开始向最新版 Edge Canary 用户推送内置的 VPN 服务 Microsoft Edge Secure Network。该服务不是来自微软，而是由 CDN 服务商 Cloudflare 提供，用户需要使用微软账号登陆，每月的免费数据流量为 1GB。和其他 VPN 服务类似，它将加密网络连接，阻止在线跟踪，保密个人位置。Cloudflare 承诺不收集数据，将会 25 小时永久删除诊断和支持数据。VPN 功能可以在设置 > 隐私，搜索和服务 下找到。

Google Chrome 开发者博客更新了 Manifest V2 扩展淘汰时间。搜索巨人正在强行推广受争议的 Manifest V3 扩展。Google 宣布：从 2023 年 1 月起 Chrome Web Store 停止接受现有 Manifest V2 扩展的更新，Manifest V3 将成为扩展精选标记的先决条件；从 2023 年 6 月起 Chrome Web Store 中的 Manifest V2 扩展将不再对用户可见；2024 年 1 月 Chrome Web Store 将移除所有 Manifest V2 扩展。