2200986

Mozilla stopft 14 Lücken in Firefox 47

08.06.2016 | 09:11 Uhr |

In der neuen Firefox-Version 47 haben die Mozilla-Entwickler 14 Sicherheitslücken beseitigt. Außerdem gilt nun standardmäßig für alle Plug-ins, dass sie erst durch Anklicken aktiviert werden müssen.

Mozilla hat am 7. Juni die neue Firefox-Version 47.0 freigegeben, die inzwischen auch über die integrierte Update-Funktion ausgeliefert wird. Firefox 47 bringt einige Neuerungen – über die meisten haben wir bereits gestern berichtet . Änderungen gibt es etwa beim standardmäßigen Verhalten installierter Plug-ins wie Flash Player, Google Earth oder Java. Eine neue ESR-Version ist inzwischen ebenfalls erhältlich, ebenso Firefox 47 für Android.

Mozilla verteilt die Beschreibungen der 14 beseitigten Schwachstellen auf 13 Sicherheitsberichte (Security Advisories). Drei Lücken stufen die Firefox-Entwickler als kritisch ein. Zwei davon fassen eine Reihe ähnlicher Bugs in der Speicherbehandlung zusammen, es sind also tatsächlich deutlich mehr Lücken gestopft worden. Die dritte als kritisch eingestufte Schwachstelle ist durch einen externen Sicherheitsforscher entdeckt und gemeldet worden. Sie betrifft die Verarbeitung nachträglich in einen typfremden Kontext (etwa ein SVG-Element) eingefügter HTML5-Fragmente. Dabei kann es zu einem Absturz kommen, der ausgenutzt werden könnte, um eingeschleusten Code auszuführen.

Die im Jahr 2013 eingeführte Whitelist für Plug-ins, die nicht erst durch Anklicken aktiviert werden müssen („click to play“), ist Geschichte. Das bedeutet, soweit nicht durch den Benutzer anders eingestellt, müssen alle Inhalte, die ein Plug-in erfordern, erst angeklickt werden, bevor sie abgespielt werden. Das betrifft zum Beispiel den Flash Player, Google Earth oder auch das Java Plug-in JRE.

Firefox ESR (Extended Service Release) ist in der neuen Version 45.2.0 verfügbar. Darin haben die Mozilla-Entwickler acht Sicherheitslücken beseitigt – eine Untermenge der in Firefox 47 gestopften Lücken. Nicht alle Schwachstellen in Firefox 46/47 betreffen auch die ESR-Version, die ganz bewusst nicht an der Spitze der technischen Entwicklung steht. Auf Firefox ESR 45.2.0 basiert auch der aktuelle Tor Browser 6.0.1.

Bei Seamonkey gibt es wenig Erfreuliches zu berichten: das kleine Häufchen der Enthusiasten kämpft nach wie vor mit technischen Problemen und fehlenden Entwicklern. So hat ein Mitstreiter einen neuen Job angetreten und fällt daher mangels Zeit aus. An einem im deutschen Seamonkey-Blog ausgelobten Wettbewerb um eine Seamonkey-Kaffeetasse hat sich bislang genau eine Person beteiligt. Es sollen Seamonkey-Bugs beseitigt werden. Ansonsten hat sich seit der Mitte März veröffentlichten Seamonkey-Version 2.40 nicht viel Vorzeigbares getan – als nächste Version wird 2.44 anvisiert, allerdings noch ohne konkreten Termin.

0 Kommentare zu diesem Artikel
2200986