Mit der neuen Firefox-Version 57 führt Mozilla eine komplett neue HTML Rendering Engine namens Quantum ein, die den alten Gecko ersetzt. Damit soll Firefox 57 doppelt so schnell sein wie Firefox 52. Auch die Bedienoberfläche ist neu gestaltet. Unter der Motorhaube wird weiter gründlich saniert. So ist die Unterstützung für Browser-Erweiterungen (Add-ons) des bisherigen, XUL-basierten Typs nicht mehr an Bord. Stattdessen müssen Add-ons nun die neue WebExtension API nutzen. Die Mozilla-Entwickler haben in Firefox 57 mindestens 15 Sicherheitslücken geschlossen. Die Sicherheitsmeldung MFSA2017-24 führt 13 Schwachstellen auf, die durch externe Sicherheitsforscher entdeckt und an Mozilla gemeldet worden sind. Eine der Lücken ist als kritisch eingestuft. Sie wurde durch einen gewissen Nils aus Deutschland entdeckt, der durch seine erfolgreiche Teilnahme am Hacker-Wettstreit Pwn2own bekannt wurde. Hinzu kommen zwei Einträge, in denen diejenigen Lücken zusammengefasst sind, die Mozilla-intern entdeckt worden sind. Sie sind unterteilt in die Lücken, die sowohl Firefox ESR 52.x als auch Firefox bis 56 betreffen, sowie die nur die neuere Browser-Generation betreffenden Lücken. Die Anzahl dieser Schwachstellen oder gar weitere Details gibt Mozilla nicht preis. Aus den Beschreibungen geht lediglich hervor, dass einige Lücken auf Speicherfehlern beruhen und eventuell ausgenutzt werden könnten, um Code einzuschleusen und auszuführen. In Firefox ESR 52.5 mussten die Mozillianer wesentlich weniger Lücken stopfen. Darunter sind die erwähnte, durch Nils gefundene Schwachstelle sowie eine weitere, extern entdeckte Lücke. Außerdem wiederum eine nicht näher benannte Zahl intern entdeckter Schwachstellen, die zum Teil als kritisch gelten. Der auf Firefox ESR 52.5 basierende Tor Browser 7.0.10 ist ebenfalls bereits verfügbar. Was der Wegfall der bisherigen Add-on-Schnittstelle bedeutet, werden wir im Laufe des Tages in einem separaten Artikel beleuchten. Soviel an dieser Stelle: Die neue Version 10 der beliebten Erweiterung NoScript ist nicht rechtzeitig fertig geworden. Giorgio Maone hat angekündigt , NoScript 10 werde noch im Laufe dieser Woche erscheinen. Als Interimslösung mag einstweilen uMatrix dienen. Firefox ESR 52.5 und Tor Browser unterstützen weiterhin die alte XUL-Schnittstelle und so kann auch NoScript 5.1.5 damit genutzt werden.
News
Mozilla schließt 15 Firefox-Lücken
Mozilla schneidet in Firefox 57 reichlich alte Zöpfe ab und schließt 15 Sicherheitslücken. Auch Firefox ESR und der darauf basierende Tor Browser sind in neuen Versionen erhältlich.

Image: IDG