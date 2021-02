Mozilla hat am heutigen Dienstag neue Firefox-Versionen veröffentlicht: Firefox 86 sowie die ESR-Version (Extended Support Release) 78.8 stehen ab sofort zum Download bereit und kommen bei aktivierter Auto-Update-Funktion nach und nach als Aktualisierung auf Systeme, auf denen der Browser bereits installiert ist.

Firefox 86 bessert bei bestehenden Funktionen wie der vereinfachten Leseansicht und der Picture-in-Picture-Funktion nach. Neue Minimalanforderungen an die Verschlüsselung von Echtzeitkommunikation via WebRTC und ein frisch implementierter Schutz vor "Stack Clash"-Angriffen auf Linux- und Android-Systemen sollen die Sicherheit beim Surfen verbessern. Ein neues Feature namens "Total Cookie Protection" soll Website-übergreifendes Tracking erschweren.

Aus den neuen Firefox-Ausgaben wurden zudem Schwachstellen, darunter mehrere mit "High"-Einstufung, entfernt, die wir einer separaten Meldung zusammengefasst haben.

Viele kleine Komfort-Korrekturen

Änderungen, die Nutzern beim Surfen mit der neuen Browser-Version auffallen dürften, sind etwa die Default-Aktivierung der in früheren Firefox-Ausgaben manuell einzuschaltenden Picture-in-Picture-Funktion sowie ein Bugfix für die vereinfachte Leseansicht ("Reader View"). Letztere funktioniert jetzt auch beim (Offline-)Lesen lokal gespeicherter HTML-Seiten und erhöht den Lesekomfort, indem potenziell störende Bedien- und anderer Browserelemente vorübergehend ausgeblendet werden.

Die Links in der Leseansicht weisen laut Release-Notes jetzt einen stärkeren Farbkontrast auf. Ebenfalls optisch und funktional umgestaltet wurde die "Drucken"-Funktion. Visuell beeinträchtigten Menschen kommen zudem diverse Verbesserungen der Bedienbarkeit von Screen-Readern in Kombination mit dem neuen Firefox entgegen.

Offenbar nicht mehr in die finale Version geschafft hat es der Basis-Support für das noch recht junge Open Source-Bildformat AVIF, der in den Release-Notes der Beta-Version von Firefox 86 angekündigt worden war; er dürfte wohl in einer späteren Version folgen. AVIF basiert auf dem Videocodec AV1 und wurde wie dieser von der Alliance for Open Media (AOM) spezifiziert. Ziel der AOM ist es, lizenzkostenfreie Medienformate zu entwickeln und zu verbreiten. AVIF verspricht eine im Vergleich zu konkurrierenden Bildformaten wie JPEG oder PNG besonders hohe Bildqualität bei hohen Kompressionsraten.

Cookies in Gläsern

Die Release-Notes zu Firefox 86 kündigen ein neues Feature namens "Total Cookie Protection" an, das Nutzer vor Website-übergreifendem Tracking schützen soll. Dazu bekomme jede Website ein eigenes, ihr zugeordnetes "cookie jar", also ein "Glas" mit Cookies, auf die sie zugreifen darf.

Das neue Feature soll eine Ergänzung zum "Supercookie"-Schutz aus Firefox 85 bilden. Weitere Informationen liefert der separate Blogeintrag "Firefox 86 Introduces Total Cookie Protection".

Schutz vor "Stack Clash"

Für Linux und das Linux-basierte Android-Betriebssystem haben die Firefox-Entwickler einen Schutzmechanismus gegen die bereits 2017 entdeckte Linux- und BSD-Schwachstelle "Stack Clash" eingebaut. Sie basiert auf einem Feature des Linux-Kernels zur Speicherverwaltung ("Stack Guard Page"), das sich missbrauchen lässt, um Speicherinhalte zu überschreiben und sich auf diesem Wege höhere Rechte zu erschleichen, um beispielsweise Schadcode auszuführen.

Der Schutzmechanismus wird durch den Clang-Compiler beim Kompilieren von Firefox, genauer: durch die in Clang erst seit vergangenem Jahr verfügbare und mit Firefox vorab getestete Compileroption -fstack-clash-protection umgesetzt. Nähere Details hierzu sind einem Blogeintrag des LLVM Project zum Stack Clash-Schutz zu entnehmen.

WebRTC: Künftig DTLS ab 1.2 erforderlich

Eine weitere sicherheitsrelevante Neuerung: Für die Echtzeitkommunikation in Firefox via WebRTC (PeerConnection-API) erwarte Firefox 86 von den jeweiligen Webservices die Nutzung von DTLS ab Version 1.2 aufwärts. WebRTC ist der Standard zur Echtzeitkommunikation zwischen Clients im Web und kommt etwa im Zuge von Videokonferenzen im Browser zum Einsatz. Beispiele für weitere Anwendungen sind Datentransfer, Desktop-Sharing und Chat.

Das Verschlüsselungsprotokoll DTLS (Datagram Transport Layer Security) basiert auf der jeweiligen TLS-Version. Bislang war für die WebRTC-Nutzung in Firefox DTLS 1.0 zulässig. TLS 1.0 ist seit über 20 Jahren im Einsatz und setzt auf die schon lange als unsicher geltenden Hash-Verfahren MD5 und SHA-1; die Nutzung von (mindestens) Version 1.2 wird allgemein empfohlen.

(ovw)