2234393

Mozilla schließt 27 Firefox-Lücken

16.11.2016 | 08:58 Uhr |

Mit dem neuen Firefox 50 hat Mozilla wieder etliche Sicherheitslücken der Vorversionen beseitigt. Außerdem soll der Schutz vor potenziell gefährlichen Downloads weiter verbessert worden sein.

Der Browser-Hersteller Mozilla hat seinen Web-Browser Firefox in der neuen Version 50.0 freigegeben. Einige Neuerungen haben wir Ihnen bereits gestern vorgestellt . Zu den zahlreichen kleinen Verbesserungen gehört etwa, dass laut Mozilla nun mehr als 98 Prozent der Firefox-Nutzer unter Windows 7 und höher die Grafikschnittstelle WebGL nutzen können. Die Video-Wiedergabe ohne Plugins wie den Flash Player soll jetzt auf noch mehr Websites möglich sein.

Vor allem jedoch haben die Mozilla-Entwickler wieder eine ganze Reihe mehr oder weniger problematischer Sicherheitslücken geschlossen. Das Mozilla Security Advisory MFSA 2016-89 führt 27 Schwachstellen auf, von denen drei als kritisch eingestuft sind. Das bedeutet, dass ein Angreifer, der einen funktionierenden Exploit für eine dieser drei Lücken nutzt, Code einschleusen und ausführen könnte. Tatsächlich haben die Entwickler allerdings weit mehr solcher Lücken gestopft, denn unter den Kennungen CVE-2016-5289 und CVE-2016-5290 ist eine nicht näher bezifferte Anzahl potenziell ausnutzbarer Bugs zusammengefasst.

Ein kleinerer Teil der Schwachstellen betrifft auch die Langzeitversion Firefox ESR (Extended Support Release), die in der neuen Version 45.5.0 erhältlich ist. Hier sind es nur neun geschlossene Lücken, was wohl bedeutet, dass zumindest ein Teil der übrigen, in Firefox 50 gestopften Lücken erst seit Version 45 hinzu gekommen ist.

Für mehr Sicherheit soll auch ein verbesserter Schutz von potenziell gefährlichen Downloads sorgen. Dazu gehört eine von Google Chrome übernommene Liste unter Windows, macOS oder Linux ausführbarer Dateitypen. Diese Liste enthält allerdings nicht nur direkt ausführbare Dateitypen (wie EXE oder COM), sondern auch etliche weitere Dateiarten, die schädlichen Code enthalten könnten – etwa ZIP, DOCX oder PDF. Das bedeutet jedoch nicht etwa, dass Firefox (oder auch Chrome) den Download all dieser Dateitypen blockieren oder jedes Mal davor warnen würde.

Vielmehr nutzen Firefox und Chrome eine undokumentierte API in Google Safe Browsing. Damit wird die Reputation einer Datei überprüft. URL, Prüfsumme, Zertifikat und weitere Metadaten der Datei werden mit Listen bekannt schädlicher und harmloser Dateien abgeglichen. Nur wenn eine Datei in einer solchen Blacklist auftaucht, blockiert Firefox den Download. Im Grunde gibt es das in Firefox bereits seit Version 31, Google entwickelt den Schutz jedoch ständig weiter.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2234393