2212855

Mozilla behebt über 20 Schwachstellen in Firefox 48

03.08.2016 | 09:05 Uhr |

Mit der neuen Browser-Version Firefox 48.0 führt Mozilla schrittweise die Aufteilung auf mehrere Prozesse ein. Außerdem haben die Entwickler wieder etliche Sicherheitslücken geschlossen.

Mozillas neuer Browser Firefox 48 soll seine Benutzer noch besser vor potenziell gefährlichen Downloads schützen. Einige Anwender kommen bereits in den Genuss der Aufteilung des Browser-Prozesses in je einen Prozess pro Tab. Erweiterungen, die nicht durch Mozilla verifiziert und signiert sind, werden nicht mehr geladen. Mac OS X wird nur noch ab der Version 10.9 („Mavericks“) unterstützt.

Der wichtigste Beitrag zu mehr Sicherheit bei der Web-Nutzung bleibt jedoch das Schließen potenziell gefährlicher Sicherheitslücken. In Firefox 48.0 haben die Mozilla-Entwickler mindestens 24 Schwachstellen behoben. Die meisten Lücken sind durch externe Sicherheitsforscher gemeldet worden. In der Sicherheitsmeldung MFSA2016-62 ist allerdings eine nicht näher spezifizierte Zahl ausnutzbarer Speicherfehler zusammengefasst, die den Schwachstellenzähler leicht auch über die 30 treiben könnte. Neben diesen hat Mozilla zwei Use-after-free-Lücken als kritisch eingestuft. Dabei kann Code auf Speicherbereiche zugreifen, der zu diesem Zeitpunkt bereits wieder freigegeben ist. Gelingt es einem Angreifer eine solche Schwachstelle auszunutzen, kann er womöglich über eine präparierte Web-Seite Code einschleusen und auf Betriebssystemebene ausführen.

Chrome und andere auf Chromium basierenden Browser teilen sich schon länger auf mehrere Prozesse auf, die voneinander isoliert laufen. Firefox hat bislang alles (außer den Flash Player) in einen monolithischen Betriebssystemprozess gepackt. Doch bereits seit Jahren arbeiten die Mozilla-Entwickler am Projekt „Electrolysis“ (kurz: e10s). Ist e10s in Firefox aktiviert, soll in Zukunft jeder Browser-Tab in einem eigenen, isolierten Prozess laufen. Zunächst werden jedoch nur Web-Inhalte (Content) und Bedienoberfläche (GUI) in getrennten Prozessen ausgeführt, separate Prozesse für Tabs sollen später eingeführt werden. Einige Anwender erhalten bei Firefox 48 die Gelegenheit e10s zu aktivieren und auszuprobieren. Damit stellt Mozilla die Weiterentwicklung auf eine breitere Basis der Benutzererfahrungen.

Der Schutz vor schädlichen Downloads basiert in Firefox seit langer Zeit auf Googles Safe Browsing-Technik, die auch in Chrome eingesetzt wird. Google hat den Schutz nun auf zwei weitere Kategorien ausgeweitet: potenziell unerwünschte Software (zum Beispiel Adware) und unübliche Downloads. Letztere soll dann zu einer Warnung führen, wenn etwa eine Website versucht dem Benutzer etwas anderes unterzuschieben, als er wahrscheinlich erwartet. Das kann zum Beispiel ein Trojanisches Pferd sein, während der Anwender an sich ein bekanntes, legitimes Programm herunter laden will. Die Warnung sollte Anlass sein, die Download-Adresse sorgfältig zu prüfen.

Die Release Notes zu Firefox 48.0 führen noch eine Reihe weiterer Neuerungen auf, darunter auch wieder etliche Verbesserungen in der WebRTC-Unterstützung. Der Verfasser der Release Notes scheint einen Scherzkeks gefrühstückt zu haben – die zum Teil reichlich flapsigen Formulierungen sind für ein bislang meist staubtrockenes Dokument wie dieses eher unüblich.

Neben der Ankündigung der Unterstützung älterer OS X-Versionen vor 10.9 soll nach Firefox 48 auch mit veralteten Prozessoren Schluss sein. Künftig, also wohl bereits ab Firefox 49, muss die CPU den SSE2-Befehlssatz beherrschen. Das können bei Intel die Prozessoren ab Pentium 4 (Willamette), bei AMD ab Athlon 64 (Clawhammer) und Opteron. Das sind alles Prozessorgenerationen aus den Anfangsjahren des 21. Jahrhunderts – wer etwa noch einen Athlon XP (Sockel A) oder Pentium/Celeron mit Sockel 370 betreibt, kann mit Firefox ESR vielleicht noch ein paar Monate in die Verlängerung gehen.

Firefox ESR (Extended Support Release) ist ab sofort in der Version 45.3.0 erhältlich. Darin sind diejenigen 13 der oben genannten Lücken gestopft, die Firefox 45 betreffen. Auch der Tor Browser ist in einer neuen Version verfügbar: Tor Browser 6.0.3 basiert auf Firefox ESR 45.3.0. Seamonkey-Nutzer müssen sich hingegen weiter in Geduld üben: eine neue Version 2.48 soll zwar „in Sicht“ sein, auf einen konkreten Termin möchte sich jedoch noch niemand aus dem Seamonkey-Team festlegen.

0 Kommentare zu diesem Artikel
2212855