Channel Header
2440625

Mozilla stopft über 20 Lücken in Firefox

10.07.2019 | 09:12 Uhr | Frank Ziemann

Mit der neuen Firefox-Version 68.0 will Mozilla endlich die Probleme mit Antivirusprogrammen lösen. Die Entwickler haben zudem mehr als 20 Sicherheitslücken geschlossen. Updates gibt es auch für Firefox ESR und den Tor Browser.

Mozilla hat Firefox 68.0 freigegeben und verteilt die neue Version bereits seit gestern Nachmittag über den integrierten Updater. Die wichtigsten Neuerungen haben wir Ihnen gestern in diesem Artikel vorgestellt. Firefox 68 ist auch die Basis für die neueste Fassung von Firefox ESR (Extended Support Release). Tor Browser bleibt zunächst noch beim bisherigen Versionszweig Firefox ESR 60.x, der ebenfalls ein Sicherheits-Update erhalten hat.

Das Update auf Firefox 68.0 beseitigt mindestens 21 Sicherheitslücken. Im Sicherheitsbericht MFSA2019-21 beschreibt Mozilla die 19 Lücken, die durch externe Sicherheitsforscher entdeckt und gemeldet wurden, etwas näher. An erster Stelle ist eine Schwachstelle aufgeführt, die bereits im März beim Hacker-Wettbewerb Pwn2Own durch Niklas Baumstark aufgedeckt worden war. Mit der Installation eines präparierten Sprachpakets kann ein Angreifer aus der Sandbox ausbrechen. Keine der extern entdeckten Lücken stuft Mozilla als kritisch ein.

Eine nicht genannte Zahl intern gefundener Schwachstellen gilt hingegen insgesamt als kritisch. Es handelt sich vorwiegend um Fehler bei der Speicherbehandlung, die möglicherweise ausgenutzt werden könnten, um Code einzuschleusen und auszuführen. Über Details schweigt sich Mozilla wie immer aus.

Seit HTTPS-Verbindungen zum Quasi-Standard im Web geworden sind, gibt es immer wieder mal Probleme zwischen Firefox und einigen Antivirusprogrammen. Letztere klinken sich in einer Art Man-in-the-Middle-Szenario mittels eigener TLS-Zertifikate in verschlüsselte Verbindungen ein, um Websites und Downloads auf Malware zu prüfen. Da Firefox als einziger Browser nicht den TLS-Zertifikatsspeicher von Windows nutzt, sondern einen eigenen, kommt es zu Konflikten, wenn sich Antivirusprogramme nicht bei Firefox als Zertifikatsaussteller registriert haben. Mit Firefox 68 führt Mozilla die Voreinstellung „Enterprise Roots“ ein, um Abhilfe zu schaffen. Kommt es zu TLS-Verbindungsproblemen, aktiviert Firefox 68 diese Einstellung automatisch, importiert Zertifikatsaussteller aus dem Windows-Zertifikatsspeicher und versucht einen erneuten Verbindungsaufbau.

Neu ist auch, dass der Zugriff auf Kamera und Mikrofon nur noch über HTTPS-Verbindungen möglich ist. Firefox nutzt nun auch den „Intelligenten Hintergrundübertragungsdienst“ (BITS) von Windows. Damit kann Firefox Updates auch dann weiter herunterladen, wenn der Browser geschlossen wird.

Firefox ESR (Extended Support Release)

Der neue Firefox ESR 68.0 löst demnächst den bisherigen Versionszweig Firefox ESR 60.x ab, der noch ein Update auf Version 60.8.0 erhalten hat. In beiden Generationen haben die Mozilla-Entwickler etliche Sicherheitslücken gestopft . Firefox ESR 68.0 erbt die Funktionen und Verbesserungen, die seit Firefox 60 hinzugekommen sind, erhält nun aber bis zur Ablösung durch die nächste Generation in einem Jahr wieder nur Sicherheits-Updates und notwendige Bug-Fixes. Für den Unternehmenseinsatz (dafür ist Firefox ESR gedacht) bringt die neue 68er Generation zusätzliche Richtlinien und einen MSI-Installer mit.

Der Tor Browser basiert auf Firefox ESR, bleibt mit der neuen Version 8.5.4 aber noch beim alten Versionszweig und setzt auf Firefox ESR 60.8.0. Die Tor-Entwickler haben weitere Komponenten aktualisiert: Tor 0.4.0.5, Torbutton 2.1.12, HTTPS Everywhere 2019.6.27, OpenSSL 1.0.2s. Außerdem haben sie ein Banner eingefügt, um mehr Spenden einzuwerben.


PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2440625