Mozilla hat die neue Firefox-Version 52 freigegeben. Darin haben die Entwickler mehr als 28 Sicherheitslücken beseitigt. Auch für Firefox ESR und den Tor Browser gibt es Updates.
Firefox 52 wird mittlerweile über die integrierte Update-Funktion ausgeliefert. Mit der neuen Browser-Version endet die Unterstützung für die alte Plug-in-Schnittstelle NPAPI, ein Relikt aus der Netscape-Ära. Nur der Flash Player darf weiterhin auf diese Schnittstelle zugreifen, ebenso wie Ciscos OpenH264-Videocodec, den Mozilla mitliefert, um die WebRTC-Spezifikation zu befolgen. Über einige
weitere Neuerungen
hatten wir bereits gestern berichtet.
In der Sicherheitsmitteilung
MFSA2017-05
führt Mozilla 28 gestopfte Sicherheitslücken auf. Die meisten sind durch externe Sicherheitsforscher entdeckt und gemeldet worden. Die beiden letzten Einträge auf dieser Seite fassen Schwachstellen zusammen, die durch Mozilla-Entwickler entdeckt worden sind. Die tatsächliche Zahl der beseitigten Schwachstellen dürfte also weit höher liegen. Mehrere Lücken sind als kritisch eingestuft, da sie geeignet sein könnten, um beliebigen Code einzuschleusen und auszuführen.
Nutzer der Windows-Versionen XP und Vista werden auf Firefox ESR migriert, da die Unterstützung für XP und Vista im April mit Firefox 53 endet. Bis September 2017 läuft mit Firefox ESR 52 noch ein aktueller Browser auf den alten Schätzchen, dann will Mozilla den Termin für das endgültige Aus verkünden. Chromium-basierte Browser unterstützen XP und Vista bereits länger nicht mehr.
Firefox ESR ist zunächst noch in der aktualisierten Version 45.8 erhältlich. Darin haben die Mozilla-Entwickler diejenigen Firefox-Lücken gestopft, die diese Browser-Generation betreffen. Neue Funktionen bekommt dieser Browser-Zweig erst mit dem Wechsel auf Firefox ESR 52, der in Kürze verfügbar sein sollte. Hierin kann die abgeschaltete NPAPI-Unterstützung manuell aktiviert werden.
Das Tor Projekt hat seinen auf Firefox ESR basierenden
Tor Browser
auf die Version 6.5.1 aktualisiert. Neben dem Update auf Firefox ESR 45.8 haben die Tor-Programmierer auch etliche Komponenten aktualisiert, die den Unterschied zu normalen Firefox-Versionen ausmachen, sowie
einige Bugs
ausgemerzt.
Seamonkey hinkt weiterhin hinter der Entwicklung her. Dem kleinen Team der Seamonkey-Enthusiasten stehen nach wie vor technische Probleme im Weg. Außerdem haben sie Schwierigkeiten mit dem Tempo mitzuhalten, das Mozilla beim Umbau unter der Firefox-Motorhaube vorlegt. Der mittelfristige Plan lautet daher, ab Seamonkey 2.49 auf Firefox ESR 52 als Basis zu setzen. Zunächst soll jedoch noch Seamonkey 2.48 erscheinen – Termin ungewiss.
In
Firefox 52.0
geschlossene Sicherheitslücken:
|
Bezeichner |
Beschreibung |
Risiko* |
Firefox 52.0 |
Firefox ESR 45.8 |
|---|---|---|---|---|
|
CVE-2017-5398 |
Memory safety bugs fixed in Firefox 52 and Firefox ESR 45.8 |
kritisch |
ja |
ja |
|
CVE-2017-5399 |
Memory safety bugs fixed in Firefox 52 |
kritisch |
ja |
|
|
CVE-2017-5400 |
asm.js JIT-spray bypass of ASLR and DEP |
kritisch |
ja |
ja |
|
CVE-2017-5401 |
Memory Corruption when handling ErrorResult |
kritisch |
ja |
ja |
|
CVE-2017-5402 |
Use-after-free working with events in FontFace objects |
kritisch |
ja |
ja |
|
CVE-2017-5403 |
Use-after-free using addRange to add range to an incorrect root object |
kritisch |
ja |
|
|
CVE-2017-5404 |
Use-after-free working with ranges in selections |
kritisch |
ja |
ja |
|
CVE-2017-5406 |
Segmentation fault in Skia with canvas operations |
hoch |
ja |
ja |
|
CVE-2017-5407 |
Pixel and history stealing via floating-point timing side channel with SVG filters |
hoch |
ja |
ja |
|
CVE-2017-5410 |
Memory corruption during JavaScript garbage collection incremental sweeping |
hoch |
ja |
ja |
|
CVE-2017-5411 |
Use-after-free in Buffer Storage in libGLES |
hoch |
ja |
|
|
CVE-2017-5408 |
Cross-origin reading of video captions in violation of CORS |
mittel |
ja |
ja |
|
CVE-2017-5409 |
File deletion via callback parameter in Mozilla Windows Updater and Maintenance Service |
mittel |
ja |
ja |
|
CVE-2017-5412 |
Buffer overflow read in SVG filters |
mittel |
ja |
|
|
CVE-2017-5413 |
Segmentation fault during bidirectional operations |
mittel |
ja |
|
|
CVE-2017-5414 |
File picker can choose incorrect default directory |
mittel |
ja |
|
|
CVE-2017-5415 |
Addressbar spoofing through blob URL |
mittel |
ja |
|
|
CVE-2017-5416 |
Null dereference crash in HttpChannel |
mittel |
ja |
|
|
CVE-2017-5417 |
Addressbar spoofing by draging and dropping URLs |
mittel |
ja |
|
|
CVE-2017-5425 |
Overly permissive Gecko Media Plugin sandbox regular expression access |
mittel |
ja |
|
|
CVE-2017-5426 |
Gecko Media Plugin sandbox is not started if seccomp-bpf filter is running |
mittel |
ja |
|
|
CVE-2017-5427 |
Non-existent chrome.manifest file loaded during startup |
mittel |
ja |
|
|
CVE-2017-5405 |
FTP response codes can cause use of uninitialized values for ports |
niedrig |
ja |
ja |
|
CVE-2017-5418 |
Out of bounds read when parsing HTTP digest authorization responses |
niedrig |
ja |
|
|
CVE-2017-5419 |
Repeated authentication prompts lead to DOS attack |
niedrig |
ja |
|
|
CVE-2017-5420 |
Javascript: URLs can obfuscate addressbar location |
niedrig |
ja |
|
|
CVE-2017-5421 |
Print preview spoofing |
niedrig |
ja |
|
|
CVE-2017-5422 |
DOS attack by using view-source: protocol repeatedly in one hyperlink |
niedrig |
ja |
|
* Risikoeinstufung laut Hersteller