2171885

Mozilla schließt Sicherheitslücken in Firefox 44

27.01.2016 | 09:26 Uhr |

In der neuen Firefox-Version 44.0 haben die Mozilla-Entwickler mindestens 16 Schwachstellen beseitigt. Hinzu kommen weitere Lücken, die nur Firefox für Android betreffen.

Mozilla hat die neue Firefox-Version 44.0 freigegeben. Über einige Neuerungen wie die Unterstützung für H.264-Videos und das Datenkompressionsverfahren Brotli haben wir bereits berichtet . Erst mit einigen Stunden Abstand folgen auf die Versionshinweise ( Release Notes ), die Neuerungen auflisten, die Sicherheitsberichte ( Security Advisories ) mit Beschreibungen der beseitigten Sicherheitslücken.

Mozilla hat zu Firefox 44.0 inzwischen 12 solcher Sicherheitsberichte veröffentlicht. Einige behandeln gleich mehrere Schwachstellen, die inhaltlich zusammenhängen. So unterscheidet Mozilla im ersten Bericht zwischen solchen Lücken, die nur Firefox 44 betreffen und anderen, die auch in Firefox ESR 38.6 geschlossen worden sind. Sie werden jeweils unter einer CVE-Nummer zusammengefasst. Das heißt, wie viele Lücken allein hiermit abgedeckt werden, ist so nicht erkennbar. Mozilla stuft sie jedenfalls als kritisch ein - sie könnten möglicherweise ausgenutzt werden, um Code einzuschleusen und auszuführen. Auch der dritte und der zehnte Bericht behandeln derartige Lücken.

Die übrigen Schwachstellen gelten als weniger problematisch, können es aber ebenfalls in sich haben. So hat ein Sicherheitsforscher entdeckt, dass bestimmte kryptografische Funktionen in den Network Security Services (NSS) unter Umständen fehlerhafte Ergebnisse produzieren. Die NSS umfassen mehrere Programmbibliotheken für die sichere Kommunikation zwischen Client und Server. Sie werden etwa auch durch Chrome, Libre Office, Open Office und den Instant Messenger Pidgin genutzt, deren Programmierer an der Weiterentwicklung der NSS mitwirken.

Zwei der Sicherheitsberichte betreffen nur Firefox für Android, das ebenfalls in der Version 44 erhältlich ist. Eine der beseitigten Lücken ermöglicht URL-Spoofing, also die Anzeige einer falschen Web-Adresse in der Adressleiste. Die andere Schwachstelle betrifft die Installation so genannter schlanker ( lightweight ) Themes in Firefox für Android, die nicht zwingend über eine verschlüsselte Verbindung erfolgt. Das kann Man-in-the-Middle Angriffe ermöglichen, bei denen Inhalte der Themes durch Dritte ausgetauscht werden könnten.

Firefox ESR 38.6 ist inzwischen ebenfalls verfügbar. Der Extended Service Release richtet sich an Unternehmen sowie an konservative Nutzer und wird nur mit den wichtigen Sicherheits-Updates versorgt. Neuerungen an den Programmfunktionen fließen im Laufe eines Jahres nicht mit ein. In der neuesten Version haben die Mozilla-Entwickler mindestens drei Lücken geschlossen, darunter zumindest zwei als kritisch eingestufte Schwachstellen.

Die Websuite Seamonkey stagniert noch immer bei der Version 2.39 aus dem November, da das chronisch unterbesetzte und unterfinanzierte Seamonkey-Team weiterhin mit diversen technischen Problemen zu kämpfen hat. Wann eine neue Seamonkey-Version erscheinen wird, ist derzeit nicht absehbar.

0 Kommentare zu diesem Artikel
2171885