Mozilla发布了桌面版和移动版的Firefox 40。桌面版主要变化是支持Windows 10；扩展恶意程序检测功能，识别恶意程序下载；美国版用户打开新标签页之后将会看到推荐磁贴；安装没有签名的第三方扩展将会有警告显示，但不会阻止安装；改进NPAPI插件性能，Windows版支持硬件垂直同步，改进开发者工具，修正bug，等等。

根据Mozilla今年初宣布的扩展签名政策：从即将发布的Firefox 40开始，Mozilla将对未签名扩展发出警告但不禁止安装，到Firefox 42发布时浏览器将禁止安装未签名扩展。Google从去年开始就禁止安装和屏蔽非官方商店的Chrome扩展，Mozilla没有采用Google的方法强迫扩展开发者通过官方市场AMO（addons.mozilla.org）托管扩展，它采用的是扩展签名政策，要求签名的扩展不包括主题、语言包、字典和插件。它允许基于Firefox的分支自行选择是否强制要求签名扩展，开发者版本和Nightly版本也允许关闭签名检查。

Mozilla督促Firefox用户尽快升级到Firefox 39.0.3或延长支持版ESR 38.1.1，因为Firefox的一个漏洞正被攻击者利用窃取敏感数据。漏洞与 JavaScript 同源策略机制和内置的 PDF Viewer有关，不含有PDF Viewer的Android版Firefox 不受影响。漏洞并不允许攻击者执行任意代码，但允许攻击者向本地文件注入脚本，搜索和上传敏感本地文件。在Windows上，恶意脚本会搜索subversion、s3browser和 Filezilla配置文件，.purple和Psi+ 账号信息，以及流行FTP客户端的网站配置文件。在Linux上，除了上述文件外，恶意代码还会搜索.bash_history，.mysql_history，.pgsql_history，.ssh配置文件和密钥，含有pass和access的文本文件，shell脚本等等。

Mozilla正在为Firefox浏览器引入一项已被Chrome实现但没有完全启用的特性：识别播放声音的标签，在标签上显示声音指示器，允许用户对音频静音。Google的Chrome早在一年多前就引入了声音指示器，但用户并不容易让声音消失。Chrome有静音的选项，但默认没有启用，用户必须到chrome://flags/页启用#enable-tab-audio-muting。

从7月23日的每日构建版（Nightly）开始，Firefox for Linux默认启用Gtk+3构建。以前Firefox for Linux默认启用的是Gtk+2。GTK+是GIMP和GNOME等自由软件项目采用的构建GUI的一套工具集，Gtk+3在2011年发布，过去几年已经有许多原来采用的Gtk+2的项目改用到了Gtk+3。Gtk+3今年早先时候已经进入到了Linux nightly中，但没有默认启用，需要到about:config中设置一下。

Mozilla在7月13日更新了它的Firefox附加组件封锁名单， Flash Player Plugin on Linux 11.2.202.481和 Flash Player Plugin 18.0.0.203和Flash Player Plugin 13.0.0.302 被加入到名单之中。插件加入黑名单的主要原因是它们会引发严重的安全性、稳定性或者性能问题。Mozilla在一份声明中说，“在Adobe发布更新版本解决高位漏洞前所有版本的Flash Player plugin将默认没有激活。”Mozilla此举的主要原因是Flash最近接连爆出了多个0day漏洞。

在Mozilla的邮件列表上，Firefox工程总监Dave Camp宣布他们正考虑对Firefox进行一次大的改变——移除XUL和XBL。Dave Camp称，这项计划的讨论尚处于早期阶段，还有许多问题需要讨论，如应该采用什么技术作为替代，对扩展开发者的影响，花费的时间以及质量问题，等等。之所以考虑移除XUL和XBL是出于几个方面的原因：Web和Web开发演化出了一套新的标准和技术，Mozilla应该跟谁； XUL和XBL不是Web技术，没有获得HTML那样程度的关注，它的性能问题没有修正，在 Gecko渲染引擎中创造了许多不必要的复杂度，即使是有经验的Web开发者也很难快速进入状况。Mozilla正在用Rust语言开发一个新的渲染引擎Servo，计划在今年底发布一个 alpha版。

Mozilla上周末发布了Firefox 39。主要新特性包括：Firefox Hello视频聊天系统的社交分享工具，简化第三方社交平台的聊天邀请分享；钓鱼和恶意程序检测工具支持检测下载文件；支持Unicode 8.0新增加的种族肤色绘文字符号；移除SSLv3支持（Mozilla从Firefox 34起就因为安全原因禁止使用SSLv3，这次是彻底移除），除了白名单中的域名外禁止使用RC4(进入白名单中的中国网站包括了华西证券等，具体名单可浏览这个网页)，等等。

Mozilla去年发表博文指出，流行的广告屏蔽扩展AdBlock Plus（ABP）会大幅飙升Firefox内存开销。原因是ABP会向每个iframe嵌入巨大的CSS样式表去隐藏广告元素，而每个网页有多个iframe，因此ABP会导致内存占用快速增加。Mozilla开发者 Cameron McCormack上周修正了一个有14年历史的bug， Firefox将支持共享样式表相关数据，其结果是运行ABP将会占用更少的内存。这个功能将出现在Firefox 41中。Firefox 41计划于9月22日发布。

Mozilla本周释出了Firefox 38.0.5，主要是增加了一项新功能：整合Pocket——一个私有的第三方稍后阅读服务。Mozilla的做法引发了争议，有用户向Bugzilla@Mozilla递交了bug报告，要求移除Pocket整合。作者认为，Mozilla作出的这一决定过于仓促，整合Pocket在进入到开发者版本几天之后就被推送给用户。Pocket是一个私有服务，它的隐私保护协议不同于Mozilla，而Mozilla自诩注重用户隐私，声称让用户控制自己的在线生活，但捆绑Pocket与Mozilla的核心价值和使命相悖。关闭Pocket功能也不是那么显而易见，用户需要输入about:config搜索Pocket相关的布尔值。

在iOS和Android统治的智能手机市场，Mozilla Firefox OS的目标是打破围墙花园，拥抱开放的Web。按照Mozilla的最初计划，Firefox OS主要针对中低端市场，但即使它推出了25美元的Firefox OS智能手机，Firefox OS对用户仍然缺乏吸引力。Mozilla CEO Chris Beard上周在一封电子邮件中宣布大幅调整Firefox OS计划，不再强调低价格，而是引人注目的特性，它甚至考虑让操作系统运行为Android开发的应用。Beard说，他们希望用户不是因为价格而是因为使用体验去购买Firefox OS手机。为了增加Firefox OS上可用的应用程序，Beard称他们正在探索实行Android应用兼容。

Mozilla开发者获得了Web 2.0 Security and Privacy 2015会议的最佳论文奖，他们的论文（PDF）介绍了Firefox的跟踪保护技术。跟踪保护技术是一项新的隐私保护技术，通过屏蔽请求和跟踪域名去弱化侵入式的在线用户行为跟踪。Mozilla开发者称，跟踪保护技术减少了Alexa Top 200新闻网站67.5%的HTTP cookies数量。由于Firefox没有从跟踪域名下载和渲染内容，跟踪保护技术将Alexa Top 200新闻网站的页面加载时间减少了44%，数据流量减少了39%。Mozilla 从Firefox 35开始引入跟踪保护技术，但默认没有启用，要启用这项功能需要在地址栏输入about:config，然后将privacy.trackingprotection.enabled设为true，当跟踪保护屏蔽了某些元素，用户会在地址栏左侧看到盾牌图标。

在目录磁贴之后，Mozilla的数字广告计划进入到下一步：建议磁贴——即在新标签页展示推荐的广告。这一功能将在下周合并到Beta版本中。作为一家开源以及注重隐私保护的公司，如何在不收集用户数据的情况下推荐广告？Mozilla作出了一番解释（示意图）：整个过程，Mozilla不会使用Cookies或用户身份识别码跟踪用户，不会收集用户数据，也不会与广告商分享用户数据，浏览历史不会发送到Mozilla的服务器，一切都在浏览器本地完成，推荐系统将根据国家和语言从本地挑选出合适的磁贴广告在新标签页展示，用户能控制和关闭建议磁贴。如果浏览器的请勿跟踪（DNT）选项已经启用，你可能不会看到建议磁贴。

广告屏蔽扩展Adblock Plus发布了基于Firefox for Android的Adblock浏览器 for Android。Adblock浏览器是基于Firefox 37，关闭了Firefox Sync同步功能，整合了Adblock Plus扩展，它目前还是beta版本，只提供了APK文件下载。Adblock Plus for Android在2013年曾被Google踢出了Google Play商店，理由是它违反了禁止干扰其它应用功能的开发者协议。Adblock Plus的公关经理Ben Williams认为，Adblock浏览器将可以进入 Play商店，因为它只屏蔽浏览器上显示的广告。Williams称，正式版本预计将会在7月或8月发布，称Adblock浏览器将会随着Firefox的更新而释出更新。

Firefox朝着正式支持多进程架构迈出了一大步：它的Nightly版开始默认启用多进程。Firefox的竞争对手IE和Chrome都支持多进程，每个标签一个进程的设计有助于改进浏览器的稳定性，一个标签挂起或崩溃不会影响整个浏览器。Firefox的多进程版本代号为Electrolysis（简写为 e10s），而目前的稳定版本是整个浏览器运行在单一的操作系统进程上。根据Mozilla的多进程架构迭代计划：第一步是先将浏览器UI和所有标签隔离开，分别运行在不同的进程上；然后是让每个标签运行在各自的进程上。多进程架构的改变对用户不会构成影响，但会影响代码需要直接访问Web内容的扩展开发者。

Mozilla发布了桌面版和移动版的Firefox 38，最主要的变化是支持播放DRM保护的HTML5视频内容。名叫Adobe Content Decryption Module的DRM组件是以模块的方式整合到Firefox中的，它不开源，也不是Firefox的一部分。用户在安装Firefox 38后会从Adobe下载该模块，将会在播放使用Adobe CDM的视频内容时激活。DRM是一个受争议的功能，Mozilla在官方博客中解释说，竞争对手的浏览器都支持这项功能，它没有什么选择余地，如果它不实现这项功能用户会流失到竞争对手，使用竞争对手的浏览器播放DRM限制的内容。对于讨厌DRM的用户，Mozilla提供了一个选择，发布了一个不支持DRM的版本。Firefox 38的其它功能还包括原生支持Ruby字符，改进 Android版的用户界面，等等。

Mozilla发布了桌面版和移动版的Firefox 37。主要新特性与安全相关：在服务器端支持的情况下见机性的加密(Opportunistically encrypt)HTTP流量，防御被动监听；禁用不安全的TLS版本回滚；地址栏默认显示网址而不是网页标题；新的下载管理器后端改进下载性能；本地化改进，如土耳其默认搜索引擎设为Yandex；开发者工具增加了安全面板。Mozilla面临的一大问题是浏览器市场份额萎缩，收入可能会因此锐减，Mozilla的一个做法是请求用户捐赠。

四大浏览器微软Internet Explorer、Mozilla Firefox、Google Chrome和苹果Safari全在Pwn2Own的年度黑客比赛上被攻陷，而Firefox已经释出了36.0.3修正了Pwn2Own上曝光的漏洞。韩国的黑客Jung Hoon Lee赢得了Pwn2Own历史上最高的单次利用奖金——11万美元，而他在一天内共赢得22.5万美元。他利用缓冲区溢出竞态状态攻破了稳定版和beta版的Chrome，然后利用两个Windows内核驱动的信息泄露和竞态状态获取了系统访问权限。Chrome的漏洞让他赢得了7.5万美元，Windows权限提升漏洞又获得了2.5万美元，再加上Google的Project Zero额外提供的1万美元奖金，总共11万美元。这并不是他一天内唯一的成就，Lee利用TOCTOU漏洞攻陷了IE11获得了6.5万美元，利用未初始化堆栈指针漏洞攻破了Safari又获得了5万美元。在两天比赛中，Windows曝出了5个漏洞，IE 11 4个，Firefox 3个，Adobe Reader和Flash分别有3个，Safari 2个，Chrome 1个。

一家销售软件帮助雇主招募雇员和留住雇员的公司Cornerstone OnDemand称，使用非默认浏览器如Firefox或Chrome的雇员表现更好不频繁跳槽。这项研究旨在帮助那些跳槽率过高的行业，比如呼叫中心的年跳槽率高达45%。对50000名在线工作评估参与者的数据进行分析后发现，使用Firefox或Chrome的人比使用默认浏览器如 Safari或Internet Explorer的人做同一份工作的时间长15%，工作表现也更出色。该公司首席分析官Michael Housman解释说，花时间在电脑上安装非默认浏览器Firefox的行为已能展示出你的某些方面的特征：你是一名见多识广的客户，会主动选择非默认的东西。

虽然最新版的Firefox在众多的测试中战胜了Chrome，但这并没有阻止其市场份额下滑的趋势。Net Applications的数据显示，到2月底Firefox的份额降至了11.6%，自2006年7月以来的最低点，比占有率最高的2010年4月少了54%。市场份额萎缩的Firefox正成为浏览器市场的“濒危物种”？Mozilla自己否认其市场份额下滑，公司副总裁 Johnathan Nightingale称，该公司自己的数据显示呈上升幅度，今年1月的桌面下载量是过去几年里最好的。