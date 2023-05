Die Entwickler der Mozilla Foundation haben 13 Sicherheitslücken im Webbrowser Firefox 113 geschlossen. Zudem unterstützt der Browser jetzt weitere AV1-basierte Bildformate. Die Programmierer bessern zudem bei Sicherheitsfunktionen nach.

Die Programmierer haben in dem Webbrowser in Fassung 113 laut Sicherheitsnotizen fünf Sicherheitslücken mit hohem, sieben mit mittlerem und eine mit niedrigem Bedrohungsgrad geschlossen. Angreifer hätten eine der Schwachstellen etwa für Spoofing missbrauchen können, da Browser-Rückfragen durch Pop-ups von Webseiten überlagert werden konnten (CVE-2023-32205, kein CVSS-Wert, Risiko "hoch"). Im RLBox Expat-Treiber hätten Lesezugriffe außerhalb der Speicherbegrenzung nach einem Absturz auftreten können (CVE-2023-32206, kein CVSS, hoch).

Firefox: Mehrere hochriskante Schwachstellen

Aufgrund einer fehlenden Verzögerung von Pop-up-Benachrichtigungen hätten Angreifer Opfer dazu verleiten können, fälschlicherweise Rechte zu vergeben (CVE-2023-32208, kein CVSS, hoch).

In Firefox ESR 102.11 fanden sich der Sicherheitsmeldung zufolge dieselben drei vorgenannten hochriskanten Fehler wie in Firefox 113, jedoch zwei der Lücken mit mittlerem Risiko nicht. Zudem teilen sich die beiden Browser-Fassungen einen CVE-Eintrag für Speicher-Sicherheitsfehler (CVE-2023-32215, kein CVSS, hoch). Firefox 113 hat mit CVE-2023-32216 jedoch noch weitere Memory-Safety-Bugs mit hohem Risiko, die die ESR-Version nicht betreffen.

Weitere Verbesserungen in Firefox 113

In den Release-Notes zu Firefox 113 listen die Entwickler zahlreiche Verbesserungen auf. Nachdem Firefox bereits Stillleben im AV1 Image Format (AVIF) unterstützt hat, gehen die Programmierer konsequent weiter und rüsten Support für Animationen mit AV1-Kompression (AVIS) nach. Das Format soll eventuell GIF beerben, nachdem dies MNG – aufgrund zu hohen Ressourcenverbrauchs – und APNG nicht gelungen ist. Auf Hardware, die das unterstützt, setzt Firefox jetzt bevorzugt auf Hardware-beschleunigte AV1-Dekodierung. Im Zweifelsfall bleibt der Fallback auf softwareseitige Dekodieren.

An Erweiterungen des Bild-in-Bild-Modus haben die Programmierer ebenfalls gearbeitet. Ebenso an der Unterstützung von Drag'n'drop direkt von Microsoft Outlook für Windows – der Feature-Wunsch habe bereits 13 Jahre auf dem Buckel. Die Adressleiste soll jetzt Suchbegriffe anzeigen und diese verfeinern lassen, während Nutzer die Ergebnisliste anschauen, dazu sei kein Scrollen mehr nötig. Im privaten Modus wurde der Schutz der Nutzer verbessert, indem Drittanbieter-Cookies und die Speicherung von Inhalts-Trackern blockiert wird. Der Passwort-Generator in Firefox kann jetzt auch Sonderzeichen für verbesserte Sicherheit einstreuen.

Aktualisierung erhalten

Durch Klick auf das Symbol mit den drei waagerechten Strichen rechts von der Adressleiste, weiter über "Hilfe" hin zu "Über Firefox" lässt sich der Versionsdialog des Browsers öffnen. Er zeigt die aktuell laufende Versionsnummer an und startet bei Verfügbarkeit das Herunterladen und Installieren einer Aktualisierung. Linux-Nutzer sollten die Distributions-eigene Softwareverwaltung starten und darin nach der Aktualisierung suchen. Falls das Update noch nicht angeboten wird, lässt sich die neue Version auch direkt von den Mozilla-Download-Servern herunterladen.

FIrefox 112 hatte im April ebenfalls Funktionsverbesserungen mitgebracht und sogar 22 Schwachstellen ausgebessert.

