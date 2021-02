Mozilla hat den Web-Browser Firefox auf 85.0.1 und das Extended Support Release (ESR) auf allen Plattformen auf 78.7.1 aktualisiert und damit eine kritische Sicherheitslücke beseitigt.

Der Firefox-basierte anonymisierende Tor-Browser liegt ebenfalls in einer neuen Version, nämlich 10.0.11, vor. Dabei handelt es sich allerdings um ein "Windows-only"-Release. Der Grund hierfür dürfte sein, dass die aus Firefox beseitigte Sicherheitslücke nur auf Windows-Systemen ausnutzbar ist und Tor Browser 10.0.11 laut Eintrag im Tor-Blog auch keine zusätzlichen (Tor-spezifischen) Bugfixes umfasst.

Laut Mozillas Advisory zu Firefox und Firefox ESR ermöglichte die mit den neuen Versionen geschlossene kritische Sicherheitslücke in der ANGLE-Grafikbibliothek auf Windows-Systemen das Auslösen eines Pufferüberlaufs. Auf Details zu Ausnutzbarkeit und Konsequenzen verzichtet Mozilla im Advisory, die Bug-Beschreibung ist nicht öffentlich zugänglich – vermutlich, um das Risiko aktiver Angriffe auf noch ungeschützte Systeme zu minimieren.

NTFS-Bug im Browser nicht mehr triggerbar

Neben Stabilitäts- und funktionalen Fixes nennen die Release Notes zu Firefox 85.0.1 noch ein weiteres interessantes Detail: In der neuen Firefox- einschließlich der ESR-Ausgabe ist es nicht mehr möglich, über eine Eingabe in die Adresszeile einen gefährlichen NTFS-Bug in Windows 10 auszulösen. "Prevent access to NTFS special paths that could lead to filesystem corruption", lautet Mozillas Beschreibung der Schutzmaßnahme. Selbiges sollte für den Tor Browser dann wohl auch gelten; allerdings haben wir es in einem kurzen Test nur mit Firefox (und ESR) validiert.

heise online berichtete bereits Mitte Januar über den Bug, der von Microsoft bislang noch immer nicht gefixt wurde: Bereits seit Windows 10 1803 kann der Aufruf eines bestimmten Dateipfads Schäden am Dateisystem verursachen. Der Aufruf war bislang auch im Browser möglich – zumindest in Firefox wurde dies durch das Update aber unterbunden.

(ovw)