Firefox 112: 22 Lücken beseitigt und neue Funktionen

Die Mozilla-Foundation hat die Version 112 ihres Browsers Firefox veröffentlicht. Die neue Generation enthält nicht nur viele geschlossene Sicherheitslücken, sondern führt auch neue Funktionen und Verbesserungen an. Ebenso wurden Firefox ESR und Thunderbird mit neuen Versionen bedacht.

Laut den Entwicklern werden dabei zehn der gefundenen Lücken mit einem hohen Risiko eingeschätzt. So konnte unter anderem über den Speichermanager durch das Ausführen von JavaScript-Code ein potenziell ausnutzbarer Absturz herbeigeführt werden. Ebenso konnte es in der Schriftinitialisierung zu Speicherfehlern und der Ausführung von durch Angreifer kontrollierten Code kommen.

Andere Probleme sind dagegen vom jeweils verwendeten Betriebssystem abhängig: So war es unter Android mit Firefox Focus (hierzulande als Firefox Klar bekannt) durch verschiedene Methoden möglich, eine Vollbild-Benachrichtigung zu verschleiern und Nutzern dadurch manipulierte Inhalte unterzuschieben. Ein ähnlich gelagerter Fehler betraf auch auf Windows-Systemen genutzte Firefox-Browser. Über den Mozilla-Wartungsdienst konnten Angreifer dagegen eine unsignierte Update-Datei einspielen, indem der Dienst auf eine Update-Datei auf einem bösartigen SMB-Server verweist. Die Datei konnte dabei nach der Signaturprüfung und vor der Anwendung ersetzt werden, da die vom Dienst angeforderte Schreibsperre auf einem SMB-Server nicht funktionierte. Dieser Angriff betraf jedoch ebenfalls nur Windows-Systeme und erforderte zudem einen lokalen Zugriff auf das System.

Auf macOS konnten Angreifer dagegen bewusst einen Out-of-Bounds-Speicherzugriff unter Verwendung von WebGL-APIs verursachen, was ebenfalls zu einem potenziell ausnutzbaren Absturz führte.

Acht weitere Sicherheitslücken werden von den Mozilla-Entwicklern dagegen als moderat eingestuft. So konnte über eine gefundene Lücke unter bestimmten Umständen eine WebExtension während einer Ladeanforderung eine jar:file:/// URI anstelle einer moz-extension:/// URI erhalten. Durch diese Lücke waren Verzeichnispfade auf dem Rechner des Benutzers erkennbar.

Vier weitere Lücken wurden mit dem Prädikat „niedrig“ versehen.

Neue Funktionen integriert

Neben der Beseitigung von sicherheitsrelevanten Fehlern haben die Entwickler auch einige Neuerungen eingeführt. So kann die Tastenkombination STRG+SHIFT+T nicht nur wie bisher kürzlich geschlossene Tabs wieder öffnen, sondern gleich die komplette letzte Sitzung. Voraussetzung hierfür ist, dass keine weiteren geschlossenen Tabs in der aktuell genutzten Sitzung vorhanden sind. Darüber hinaus kann in der neuen Version unter anderem der Eintrag in einem Passwort-Formularfeld durch einen Rechtsklick mit der Maus angezeigt werden. Eine Verringerung der GPU-Last sowie eine Verbesserung der Qualität der Skalierung soll die Anzeige von Software-seitig dekodierten Videos auf Intel-GPUs per Overlay bewirken.

Auch an den Möglichkeiten zur Sicherung der Privatsphäre wurde geschraubt: So haben die Entwickler den erweiterten Tracking-Schutz (Enhanced Tracking Protection, ETP) um weitere mittlerweile bekannte Parameter ergänzt. Diese werden wie bereits gewohnt bei den Aufrufen in der URL entfernt. Darüber hinaus ist mit der neuen Version die U2F-JavaScript-API ab sofort per default deaktiviert, das U2F-Protokoll bleibt jedoch weiterhin über die WebAuthn-API nutzbar.

Firefox ESR und Thunderbird ebenfalls mit neuen Versionen

Die ESR-Variante von Firefox wurde in Version 102.10.0 ebenfalls um 13 Sicherheitslücken bereinigt, von denen sieben mit einem hohen Risiko versehen sind. Hier finden sich einige der bereits beschriebenen Sicherheitsprobleme wieder. 5 weitere Lücken werden als mäßig gefährlich angesehen, eine als niedrig. Gegenüber Firefox 112 verfügt die Version mit Langzeitsupport über eine fehlerhafte S/MIME-Zertifikatsprüfung, die mit hohem Gefährdungspotenzial bewertet wird. Durch den Fehler wird nicht überprüft, ob genutzte Zertifikate unter Umständen zurückgezogen wurden. Diese Schwachstelle wurde in der neuen Version behoben.

Thunderbird 102.10.0 weist dagegen nur wenige Änderungen auf. So wurde ein Fehler in der Angabe der Sommerzeit von Kalendereinträgen mit der Zeitzone Amerika/Mexiko behoben. Weiter nutzt Thunderbird bei neuen Nachrichten nun, sofern diese konfiguriert wurde und OpenPGP nicht eingerichtet ist, die Verschlüsselung mittels S/MIME. In puncto Sicherheit wurden 15 sicherheitsrelevante Probleme beseitigt. So kann unter anderem auch bei Thunderbird auf Windows-Systemen der Mozilla-Wartungsdienst für Angriffe ausgenutzt werden.

Aktualisierung empfohlen

Nutzern wird nahegelegt, schnellstmöglich auf die neue Version von Firefox oder Thunderbird umzusteigen. Dies kann wahlweise über die integrierte Update-Funktion oder durch das manuelle Herunterladen der neuen Programmversionen über den Download-Bereich von ComputerBase erfolgen, die am Ende dieses Artikels verlinkt sind.