2505695

Sicherheits-Updates für Firefox und Tor Browser

06.05.2020 | 10:38 Uhr | Frank Ziemann

Mozilla hat die neuen Browser-Versionen Firefox 76.0 und Firefox ESR 68.8.0 bereitgestellt. Das Tor Projekt hat umgehend nachgezogen. Auch bei Thunderbird und Seamonkey gibt es Neuigkeiten.

Bereits seit gestern ist Firefox 76 erhältlich. Das Update auf die neue Browser-Version wird auch über die eingebaute Aktualisierungsfunktion verteilt. Über die Neuerungen in Firefox 76 haben wir schon berichtet. Zugleich sind auch Firefox ESR und Thunderbird jeweils in der neuen Version 68.8.0 erhältlich.

Im Mozilla Sicherheitsbericht MFSA-2020-16 führt der Browser-Hersteller neun Sicherheitslücken auf, die durch externe Forscher entdeckt und gemeldet worden sind. Zwei dieser Schwachstellen stuft Mozilla als kritisch ein. Eine Use-after-free-Lücke kann zu einem ausnutzbaren Absturz führen. Weil Firefox vor Version 76 Prozesse, in denen Inhalte geladen werden, unzureichend abschirmt, könnte Code in einem solchen Prozess aus der Sandbox ausbrechen, allerdings nur unter Windows. Eine zweite Schwachstelle ähnlicher Art stuft Mozilla lediglich als hohes Risiko ein, ebenso einen Pufferüberlauf in WebRTC.

Hinzu kommt eine nicht näher angegebene Zahl intern entdeckter Sicherheitslücken. Diejenigen Lücken, die sowohl Firefox als auch Firefox ESR betreffen, stuft Mozilla pauschal als kritisch ein. Die übrigen, nur in Firefox 75 entdeckten Schwachstellen gelten immerhin als hohes Risiko.

In Firefox ESR 68.8.0 haben die Mozilla-Entwickler die gleichen Schwachstellen beseitigt, soweit vorhanden. Davon profitiert auch der Tor Browser, der auf Firefox ESR basiert. Die neue Version Tor Browser 9.0.10 setzt auf Firefox ESR 68.8.0. Die serienmäßig mitgelieferte Erweiterung NoScript ist in der neuen Version 11.0.25 enthalten. Außerdem setzen die Desktop-Fassungen die neue OpenSSL-Bibliothek 1.1.1g ein, in der deren Entwickler eine Denial-of-Service-Lücke der Vorversionen geschlossen haben.

Mozilla hat auch seinem Mail-Programm Thunderbird ein Update auf Version 68.8.0 verordnet. Darin haben die Entwickler im Wesentlichen die gleichen Lücken geschlossen wie in Firefox, soweit sie Thunderbird betreffen. Außerdem haben sie einige Bugs beseitigt.

Das Seamonkey-Team ist weiterhin bemüht, trotz aller Schwierigkeiten wieder aufzuschließen. Anfang Mai ist Seamonkey 2.53.2 erschienen. Der aktuelle Nachfolger der alten Mozilla-Suite basiert zwar noch auf Firefox ESR 60.3 und Thunderbird 60.3, aber die Entwickler haben zumindest die Sicherheitslücken bis einschließlich Firefox 74 geschlossen. Wer noch eine ältere Seamonkey-Version einsetzt, sollte zunächst sein Benutzerprofil sichern und dann die komplette neue Seamonkey-Version herunterladen und über die bestehende Installation installieren. Eine direkte Aktualisierung über den integrierten Updater funktioniert wegen grundlegender Änderungen am Code nicht.


PC-WELT Marktplatz

2505695