Die Mozilla-Entwickler haben im Webbrowser Firefox 112 nicht nur viele Schwachstellen ausgebessert, sondern auch Funktionsverbesserungen einfließen lassen. Zudem stehen Firefox ESR und Thunderbird jetzt in Version 102.10 bereit, die ebenfalls Sicherheitslücken schließen.

Firefox 112: Verbesserte Funktionen

Die Mozilla-Entwickler erwähnen in den Release-Notes einige Verbesserungen, die Firefox 112 mitbringt. So haben sie ergänzt, dass bei einem Rechts-Klick auf ein Passwort-Formularfeld das Passwort jetzt aufgedeckt werden kann. Das Tastenkürzel Strg + Shift + T kann jetzt nicht nur kürzlich geschlossene Tabs wiederherstellen, sondern öffnet die letzte Sitzung neu, wenn keine weiteren geschlossenen Tabs in der derzeitigen Sitzung mehr existieren.

Der "Mittel-Klick", also üblicherweise mit dem Mausrad, auf einen Eintrag in der Tab-Liste der Tab-Leiste schließt jetzt den entsprechenden Reiter. Software-dekodierte Videos auf Intel-GPUs werden nun per Overlay angezeigt – das soll die Qualität der Skalierung verbessern und die GPU-Last reduzieren. Den erweiterten Tracking-Schutz (Enhanced Tracking Protection, ETP) haben die Entwickler mit weiteren bekannten Tracking-Parametern ausgestattet, die er bei URL-Aufrufen entfernt.

Zudem erwähnen die Mozilla-Programmierer die Änderung, dass die U2F-JavaScript-API jetzt standardmäßig deaktiviert ist. Das U2F-Protokoll bleibe jedoch mittels WebAuthn-API nutzbar. Der Einstellungs-Parameter security.webauth.u2f ermöglicht jedoch bei Bedarf, die API wieder zu aktivieren.

Insgesamt schließen die Programmierer 22 Sicherheitslücken in der aktualisierten Fassung des Firefox-Webbrowsers. Davon erhalten zehn die Einstufung als hochriskant, acht sind mit mittlerem Risiko sowie weitere vier mit niedrigem Bedrohungsgrad eingestuft. Einige beschränken sich auf bestimmte Betriebssysteme: So konnte unter Android eine Vollbild-Benachrichtigung auf verschiedenen Wegen verschleiert und so Nutzer irritiert oder ihnen gefälschte Inhalte präsentiert werden (CVE-2023-29534, Risiko "hoch"). Zwei weitere Möglichkeiten dazu gab es unter allen unterstützten Betriebssystemen (CVE-2023-29533, "hoch").

Unter macOS hätten Angreifer möglicherweise einen Speicherzugriff außerhalb der vorgesehenen Grenzen in WebGL zum Einschleusen und Ausführen von Schadcode missbrauchen können (CVE-2023-29531, "hoch"). Nur unter Windows ließ sich der Mozilla Maintenance Service Write-Lock umgehen, wodurch Angreifer Nutzern manipulierte Update-Dateien hätten unterschieben können (CVE-2023-29532, "hoch").

Firefox Extended Stable Release und Thunderbird

Firefox ESR 102.10 schließt sieben Sicherheitslecks mit hohem Risiko, fünf mit mittlerem Bedrohungsgrad und eine mit niedriger Risikoeinschätzung. Die Release-Notes für das Mailprogramm Thunderbird sind dieses Mal sehr knapp gehalten. Thunderbird wählt bei neuen Nachrichten jetzt die Verschlüsselung mit S/MIME, sofern diese konfiguriert wurde und OpenPGP nicht eingerichtet ist. Zudem hatten Kalender-Ereignisse in der Zeitzone America/Mexico_City fälschlicherweise die Sommerzeit angewendet. Außerdem dichtet die Version laut Security-Advisory acht hochriskante Lücken, sechs Schwachstellen mit mittlerem Risiko und ein Leck mit niedrigem Bedrohungsgrad ab.

Die zusätzliche hochriskante Lücke mehr im Vergleich zu Firefox ESR stammt aus einer fehlerhaften S/MIME-Zertifikatsprüfung, die nicht abgetestet hat, ob die Zertifikate zurückgezogen wurden. Die Schwachstelle mittleren Risikos, die Thunderbird mehr aufweist als Firefox ESR, stammt aus einer Denial-of-Service-Situation, die beim Verarbeiten von sorgsam präparierten OpenPGP-Nachrichten auftreten konnte.

Mit Klick auf das Browser-Menü – also dem Symbol mit den drei aufgestapelten Strichen rechts von der Adressleiste – und dem weiteren Weg über "Hilfe" – "Über Firefox" (beziehungsweise "Über Thunderbird") finden Nutzer die aktuell genutzte Version heraus und starten gegebenenfalls die Aktualisierung. (Bild: Screenshot/dmk)

Ob die aktuelle Version bereits installiert ist, lässt sich durch den Klick auf das Browser-Menü – also das Symbol mit den drei übereinanderliegenden Strichen rechts der Adressleiste – und dem weiteren Weg über "Hilfe" - "Über Firefox" (respektive "Über Thunderbird") herausfinden. Das zeigt die aktuell genutzte Version an und startet bei Verfügbarkeit das Update, nach dessen Anwendung der Dialog dann den nötigen Browser-Neustart anbietet.

Bei der Veröffentlichung von Firefox 111 vor rund einem Monat hatten die Entwickler 13 teils hochriskante Sicherheitslücken geschlossen.

Siehe auch:

Firefox: Download schnell und sicher von heise.de

Thunderbird: Download schnell und sicher von heise.de

Firefox ESR: Download schnell und sicher von heise.de

(dmk)