2163359

Firefox 43: Mozilla schließt über 20 Lücken

16.12.2015 | 08:50 Uhr |

Mit Firefox 43.0 geht Mozilla in die nächste Versionsrunde. Die Entwickler haben etliche Sicherheitslücken gestopft und den Tracking-Schutz im Privaten Modus erweitert.

Mozilla liefert das Update auf die neue Firefox-Version 43.0 inzwischen auch über die im Browser integrierte Aktualisierungsfunktion aus. Mozilla bietet auch eine deutsche 64-Bit-Version für Windows und Linux an. Zu den bereits beschriebenen Neuerungen in Firefox 43 , wie dem verbesserten Tracking-Schutz, kommt noch eine längere Liste beseitigter Schwachstellen.

In 16 Sicherheitsmeldungen geht Mozilla auf über 21 Sicherheitslücken ein, von denen mindestens fünf als kritisch eingestuft sind. Mehrere kritische Schwachstellen in der WebExtensions API sind unter einer CVE-Nummer (CVE-2015-7223) zusammengefasst, sodass die Zahl der Lücken deutlich höher liegen dürfte. Eine weitere Schwachstelle, die als kritisch gilt, ist eine „Use-after-free“-Lücke in WebRTC. Firefox Hello könnte irrtümlich davon ausgehen, dass ein Datenkanal noch geöffnet ist, obwohl eine andere WebRTC-Funktion diesen bereits geschlossen hat. Der Versuch, den geschlossenen Kanal zu benutzen, kann zu einem ausnutzbaren Absturz führen.

Zwei als nicht ganz so problematisch eingestufte Lücken haben die Entwickler in der Unterstützung für MP4-Videos gestopft. Die Fehler entstehen, weil zu klein bemessene Puffer überlaufen. Eine der Schwachstellen betrifft die in Zusammenhang mit Android bekannt gewordene Multimediabibliothek libstagefright . Der Fehler tritt auf, wenn Firefox Metadaten einer speziell präparierten Videodatei verarbeitet.

Die wichtigsten Sicherheitslücken hat Mozilla auch in Firefox ESR 38.5 beseitigt, der Browser-Fassung mit Langzeit-Support. Sie erhält nur wichtige Sicherheits-Updates, neue Funktionen werden im Laufe eines Jahres nicht eingebaut. Eine neue Thunderbird-Version ist noch nicht erhältlich. Die auf Firefox und dem Mail-Programm Thunderbird aufbauende Websuite Seamonkey ist ebenfalls noch nicht in einer neuen Version verfügbar. Das Seamonkey-Team besteht nur aus wenigen Personen und kann den temporären Ausfall zweier Entwickler nicht so einfach kompensieren. So ist vor Januar kaum mit einer neuen Seamonkey-Version zu rechnen.

0 Kommentare zu diesem Artikel
2163359