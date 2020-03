Mozilla hat die Version 74.0 von Firefox für Windows, Linux und macOS bereitgestellt. Die größte Änderung, die die Entwickler an dem beliebten Webbrowser vorgenommen haben, ist zugleich die am wenigsten überraschende: Die als unsicher geltenden TLS-Versionen 1.0 und 1.1 werden künftig nicht mehr unterstützt. Hinzu kommen kleinere Aktualisierungen, die für mehr Sicherheit und Privatsphäre beim Surfen sorgen sollen. Auch Sicherheitsfixes hat Firefox 74.0 an Bord: Sie sollen unter anderem fünf kritische Lücken schließen.

TLS-Support nur noch ab Version 1.2 aufwärts

Beim Ansurfen von Websites, die nicht mindestens Version 1.2 des Verschlüsselungsprotokolls Transport Layer Security (TLS) unterstützen, wird Nutzern künftig eine Fehlermeldung angezeigt. Die Streichung des Supports für die veralteten Protokoll-Versionen kündigten die Entwickler bereits im Oktober 2018 für März 2020 an.

Auch die Konkurrenz hegt schon länger dieselben Pläne. So will Google TLS 1.0 und 1.1 aus seinem in Kürze erscheinenden Chrome 81 verbannen. Microsoft hat denselben Schritt für seine Browser Internet Explorer und Edge etwas vage "für die erste Jahreshälfte 2020" angekündigt. Sowohl Firefox als auch Chrome zeigen bereits seit längerem Warnmeldungen für schwach verschlüsselte Verbindungen an.

Mehr Sicherheit durch kleinere Änderungen

Über den Add-ons-Manager (about:addons) sollen Nutzer Erweiterungen, die zuvor von externen Anwendungen installiert wurden, künftig problemlos wieder deinstallieren können. Darüber hinaus sollen Installationen "am Nutzer vorbei" aus Sicherheitsgründen künftig nicht mehr möglich sein.

Den Release-Notes zu Firefox 74.0 sind noch weitere kleinere sicherheitsspezifische Änderungen zu entnehmen. Unter anderem wird Nutzern im Anschluss an die Installation der neuen Browser-Version das Anti-Tracking-Add-on "Facebook Container" angeboten. Eine Technik namens "mDNS ICE" soll die Privatsphäre für Sprach- und Videoanrufe verbessern, indem die eigene IP-Adresse in bestimmten Szenarien durch eine zufällige ID verschleiert wird.

Patches gegen Remote Code Execution und Abstürze

Die vorgenommenen Sicherheits-Fixes haben die Mozilla-Entwickler wie gewohnt in einem separaten Security Advisory aufgeführt.

Fünf geschlossen Lücken mit der Risikoeinstufung "High" (CVE-2020-6805, CVE-2020-6806, CVE-2020-6807, CVE-2020-6814, CVE-2020-6815) hätten demnach von Angreifern unter bestimmten Voraussetzungen missbraucht werden können, um aus der Ferne beliebigen Code auszuführen oder "potenziell exploitbare Crashes" zu provozieren. Hinzu kommen sechs gefixte Lücken mit "Moderate"- und eine mit "Low"-Einstufung.

Update 10.03., 19:28 + 20:00: TLS 1.3 nach 1.2 korrigiert und fehlendes Verb ergänzt. Danke für die Hinweise!

(ovw)