2452930

Firefox 69: Mozilla stopft mindestens 19 Lücken

04.09.2019 | 08:40 Uhr | Frank Ziemann

In der neuen Firefox-Version 69.0 hat Mozilla den Flash Player deaktiviert. Außerdem haben die Entwickler mindestens 19 Sicherheitslücken geschlossen. Updates gibt es auch für Firefox ESR und den Tor Browser.

Mozilla hat Firefox 69.0 freigegeben und verteilt die neue Version seit gestern Nachmittag über den integrierten Updater. Die wichtigsten Neuerungen haben wir Ihnen bereits gestern in diesem Artikel vorgestellt. Firefox ESR (Extended Support Release) ist in zwei neuen Versionen erschienen: 68.1 und 60.9. Tor Browser bleibt vorerst noch beim bisherigen Versionszweig Firefox ESR 60.x, der ebenfalls ein Sicherheits-Update erhalten hat.

Das Update auf Firefox 69.0 beseitigt mindestens 19 Sicherheitslücken. Im Sicherheitsbericht MFSA2019-26 beschreibt Mozilla die 17 Lücken, die durch externe Sicherheitsforscher entdeckt und gemeldet wurden, etwas näher. An erster Stelle ist die einzige Schwachstelle aufgeführt, die Mozilla als kritisch einstuft: CVE-2019-11751. Ruft ein anderes Programm (etwa ein Messenger per Link) den Browser auf, bereinigt Firefox die Aufrufparameter nicht sorgfältig genug. Mit einem passend konstruierten Aufruf könnte eine Protokolldatei (logfile) erstellt und an einer beliebigen Stelle im Dateisystem gespeichert werden. Das könnte etwa der Windows Autostart-Ordner sein. Andere Betriebssysteme als Windows sind nicht betroffen.

Lediglich als hohes Risiko betrachtet Mozilla hingegen die Mehrzahl der übrigen Schwachstellen. Niklas Baumstark hat etwa  CVE-2019-9812 entdeckt, mit der ein Ausbruch aus der Browser-Sandbox über Firefox Sync möglich wäre. Zwei Sicherheitslücken betreffen den automatischen Update-Dienst für Firefox (Mozilla Maintenance Service), der unter Windows installiert wird. Code könnte mit höheren Berechtigungen ausgeführt werden.

Eine nicht genannte Zahl intern gefundener Schwachstellen gilt insgesamt auch nur als hohes Risiko, nicht als kritisch. Es handelt sich vorwiegend um Fehler bei der Speicherbehandlung, die möglicherweise ausgenutzt werden könnten, um Code einzuschleusen und auszuführen. Über Details schweigt sich Mozilla wie immer aus.

Für einen besseren Schutz der Privatsphäre hat Mozilla den erweiterten Tracking-Schutz verstärkt. Dabei werden nun standardmäßig Tracking-Cookies von Dritt-Websites (etwa Facebook) sowie Cryptominer blockiert. Wer den Schutz auf streng stellt, wird auch vor Browser-Fingerprinting geschützt. Das gab es alles schon in Firefox 68, aber nur optional in den benutzerdefinierten Einstellungen.

Außerdem ist der Flash Player nun standardmäßig deaktiviert und muss jedesmal aktiviert werden, falls er noch benötigt wird. Im ersten Quartal 2020 wird die Unterstützung für Flash Player aus den regulären Firefox-Versionen entfernt, nur in Firefox ESR bleibt das Plugin noch bis Ende 2020 erhalten. Dann wird Adobe den Flash Player ohnehin einstellen.

Firefox ESR (Extended Support Release)
Bei Firefox ESR pflegt Mozilla übergangsweise zwei Versionszweige, die regelmäßig Sicherheits-Updates erhalten. Die Versionen 68.1 und 60.9 sind die jüngsten Vertreter ihrer jeweiligen Generation. In beiden hat Mozilla die gleichen Lücken gestopft, die in Firefox 69.0 beseitigt wurden, soweit sie die ESR-Versionen betreffen. Für den Versionszweig 60.x naht damit das Ende der Update-Versorgung. Ab 22. Oktober, wenn Firefox 70.0 erscheint, pflegt Mozilla nur noch den ESR-Zweig 68.x.

Der Tor Browser basiert auf Firefox ESR, bleibt mit der neuen Version 8.5.5 aber noch beim alten Versionszweig und setzt auf Firefox ESR 60.9.0. Ab 22. Oktober soll mit Tor Browser 9.0 der Wechsel auf Firefox ESR 68 vollzogen werden. Die Tor-Entwickler haben weitere Komponenten aktualisiert: Tor 0.4.1.5, Torbutton 2.1.13 und NoScript 11.0.3.


PC-WELT Marktplatz

2452930