2257862

Mozilla schließt mehr als 28 Firefox-Lücken

08.03.2017 | 11:31 Uhr |

Mozilla hat die neue Firefox-Version 52 freigegeben. Darin haben die Entwickler mehr als 28 Sicherheitslücken beseitigt. Auch für Firefox ESR und den Tor Browser gibt es Updates.

Firefox 52 wird mittlerweile über die integrierte Update-Funktion ausgeliefert. Mit der neuen Browser-Version endet die Unterstützung für die alte Plug-in-Schnittstelle NPAPI, ein Relikt aus der Netscape-Ära. Nur der Flash Player darf weiterhin auf diese Schnittstelle zugreifen, ebenso wie Ciscos OpenH264-Videocodec, den Mozilla mitliefert, um die WebRTC-Spezifikation zu befolgen. Über einige weitere Neuerungen hatten wir bereits gestern berichtet.

In der Sicherheitsmitteilung MFSA2017-05 führt Mozilla 28 gestopfte Sicherheitslücken auf. Die meisten sind durch externe Sicherheitsforscher entdeckt und gemeldet worden. Die beiden letzten Einträge auf dieser Seite fassen Schwachstellen zusammen, die durch Mozilla-Entwickler entdeckt worden sind. Die tatsächliche Zahl der beseitigten Schwachstellen dürfte also weit höher liegen. Mehrere Lücken sind als kritisch eingestuft, da sie geeignet sein könnten, um beliebigen Code einzuschleusen und auszuführen.

Nutzer der Windows-Versionen XP und Vista werden auf Firefox ESR migriert, da die Unterstützung für XP und Vista im April mit Firefox 53 endet. Bis September 2017 läuft mit Firefox ESR 52 noch ein aktueller Browser auf den alten Schätzchen, dann will Mozilla den Termin für das endgültige Aus verkünden. Chromium-basierte Browser unterstützen XP und Vista bereits länger nicht mehr.

Firefox ESR ist zunächst noch in der aktualisierten Version 45.8 erhältlich. Darin haben die Mozilla-Entwickler diejenigen Firefox-Lücken gestopft, die diese Browser-Generation betreffen. Neue Funktionen bekommt dieser Browser-Zweig erst mit dem Wechsel auf Firefox ESR 52, der in Kürze verfügbar sein sollte. Hierin kann die abgeschaltete NPAPI-Unterstützung manuell aktiviert werden.

Das Tor Projekt hat seinen auf Firefox ESR basierenden Tor Browser auf die Version 6.5.1 aktualisiert. Neben dem Update auf Firefox ESR 45.8 haben die Tor-Programmierer auch etliche Komponenten aktualisiert, die den Unterschied zu normalen Firefox-Versionen ausmachen, sowie einige Bugs ausgemerzt.

Seamonkey hinkt weiterhin hinter der Entwicklung her. Dem kleinen Team der Seamonkey-Enthusiasten stehen nach wie vor technische Probleme im Weg. Außerdem haben sie Schwierigkeiten mit dem Tempo mitzuhalten, das Mozilla beim Umbau unter der Firefox-Motorhaube vorlegt. Der mittelfristige Plan lautet daher, ab Seamonkey 2.49 auf Firefox ESR 52 als Basis zu setzen. Zunächst soll jedoch noch Seamonkey 2.48 erscheinen – Termin ungewiss.

In Firefox 52.0 geschlossene Sicherheitslücken:

Bezeichner

Beschreibung

Risiko*

Firefox 52.0

Firefox ESR 45.8

CVE-2017-5398

Memory safety bugs fixed in Firefox 52 and Firefox ESR 45.8

kritisch

ja

ja

CVE-2017-5399

Memory safety bugs fixed in Firefox 52

kritisch

ja

CVE-2017-5400

asm.js JIT-spray bypass of ASLR and DEP

kritisch

ja

ja

CVE-2017-5401

Memory Corruption when handling ErrorResult

kritisch

ja

ja

CVE-2017-5402

Use-after-free working with events in FontFace objects

kritisch

ja

ja

CVE-2017-5403

Use-after-free using addRange to add range to an incorrect root object

kritisch

ja

CVE-2017-5404

Use-after-free working with ranges in selections

kritisch

ja

ja

CVE-2017-5406

Segmentation fault in Skia with canvas operations

hoch

ja

ja

CVE-2017-5407

Pixel and history stealing via floating-point timing side channel with SVG filters

hoch

ja

ja

CVE-2017-5410

Memory corruption during JavaScript garbage collection incremental sweeping

hoch

ja

ja

CVE-2017-5411

Use-after-free in Buffer Storage in libGLES

hoch

ja

CVE-2017-5408

Cross-origin reading of video captions in violation of CORS

mittel

ja

ja

CVE-2017-5409

File deletion via callback parameter in Mozilla Windows Updater and Maintenance Service

mittel

ja

ja

CVE-2017-5412

Buffer overflow read in SVG filters

mittel

ja

CVE-2017-5413

Segmentation fault during bidirectional operations

mittel

ja

CVE-2017-5414

File picker can choose incorrect default directory

mittel

ja

CVE-2017-5415

Addressbar spoofing through blob URL

mittel

ja

CVE-2017-5416

Null dereference crash in HttpChannel

mittel

ja

CVE-2017-5417

Addressbar spoofing by draging and dropping URLs

mittel

ja

CVE-2017-5425

Overly permissive Gecko Media Plugin sandbox regular expression access

mittel

ja

CVE-2017-5426

Gecko Media Plugin sandbox is not started if seccomp-bpf filter is running

mittel

ja

CVE-2017-5427

Non-existent chrome.manifest file loaded during startup

mittel

ja

CVE-2017-5405

FTP response codes can cause use of uninitialized values for ports

niedrig

ja

ja

CVE-2017-5418

Out of bounds read when parsing HTTP digest authorization responses

niedrig

ja

CVE-2017-5419

Repeated authentication prompts lead to DOS attack

niedrig

ja

CVE-2017-5420

Javascript: URLs can obfuscate addressbar location

niedrig

ja

CVE-2017-5421

Print preview spoofing

niedrig

ja

CVE-2017-5422

DOS attack by using view-source: protocol repeatedly in one hyperlink

niedrig

ja

* Risikoeinstufung laut Hersteller

0 Kommentare zu diesem Artikel
2257862