Mozilla hat für Firefox und Thunderbird Updates auf Version 91.0.1 bereitgestellt. Die Updates beseitigen eine Sicherheitslücke sowie einige Bugs.

Am 10. August hat Mozilla die neuen Browser-Versionen Firefox 91.0 und Firefox ESR 91.0 sowie das Mail-Programm Thunderbird 91.0 veröffentlicht. Jetzt bessert Mozilla nach und bringt jeweils Updates auf die Version 91.0.1. Darin haben die Mozilla-Entwickler eine Sicherheitslücke geschlossen, die Angriffe auf Web-Server ermöglicht hat.



In Mozillas Sicherheitsmeldung MFSA2021-37 weist der Hersteller die Schwachstelle CVE-2021-29991 als hohes Risiko aus. Demnach akzeptiert Firefox 91.0 ein Newline-Zeichen (Zeilenumbruch) in einem HTTP/3-Header und interpretiert das Ergebnis fälschlich als zwei separate Header. Damit könnte ein Angreifer Web-Server mittels HTTP/3 attackieren („header splitting attack“).



▶Die neuesten Sicherheits-Updates



Außerdem haben die Entwickler unter anderem einen Fehler ausgemerzt, durch den unter Umständen Tabs aus privaten Browser-Fenstern in nicht privaten Fenstern sichtbar werden könnten. Hinzu kommen Verbesserungen bei der Stabilität des Programms.



▶Download Firefox 91.0.1



In Firefox ESR 91.0.1 hat Mozilla die gleiche Sicherheitslücke geschlossen. Firefox ESR 78.13.0 ist offenbar nicht betroffen. Auch Mozillas Mail-Programm Thunderbird ist in der neuen Version 91.0.1 erhältlich. Darin ist die gleiche Schwachstelle behoben wie in Firefox. Außerdem hat auf 32-Bit Windows-Systemen die obligatorische Verschlüsselung so genannter OTR-Chats (off the record) versagt. OTR-Chats heißen so, weil kein Chat-Protokoll gespeichert wird.



Am 7. September will Mozilla Firefox 92 sowie Firefox ESR 78.14 und 91.1 veröffentlichen.