Nachrichten

Mozilla veröffentlicht Firefox in Version 43.0.4

Internet | HT4U.net
Das vierte Update für den Firefox 43.0 liegt zum Download bereit. Die Version 43.0.4 behebt einen Absturz des Firefox im Zusammenspiel mit der Sicherheits-Software von G DATA. Des Weiteren wurden Download-Probleme unter Linux gelöst und SHA1 reaktiviert. Letzteres wirft einige Fragen auf, denn als Grund werden ausgerechnet Probleme mit Spyware genannt.

Doch zunächst zu dem Fehler, der bei Verwendung der insbesondere in Deutschland beliebten Produkte von G DATA auftritt. Hier hatte die Funktion BankGuard (banksafe.dll), welche die Integrität von Binärdateien überprüft, zum Absturz des Firefox geführt. Mozillas Entwickler konnten die entsprechende Bibliothek aber nicht einfach auf die schwarze Liste setzen, da dies die Sicherheitsfunktion von G DATA beeinträchtigt hätte, und so musste das Problem im neuen Firefox selbst gelöst werden.

Auf Linux-Systemen mit mehreren Benutzerkonten scheiterte zuweilen der Download von Dateien, da nicht für jeden Benutzer ein eigenes temporäres Download-Verzeichnis angelegt wurde. Hat ein Benutzer einen Download getätigt, schlug das Herunterladen der gleichen Datei beim nächsten Benutzer fehl, da das entsprechende Verzeichnis bereits existierte, aber dem anderen Benutzer zugeordnet war.

Das Thema SHA1 ist recht heikel: Diese Version des "Secure Hash Algorithm" gilt seit 2005 als angreifbar und sollte dringend ausgemustert werden. Bei Mozilla hat man daher beschlossen, SHA1-Zertifikate, die nach dem 1. Januar 2016 herausgegeben wurden, nicht mehr zu akzeptieren. Dies führte allerdings dazu, dass viele Benutzer gar keine HTTPS-Verbindungen mehr aufbauen konnten. Als Ursache wurden Spyware-Infektionen ausgemacht, da sich diese Spionageprogramme eigene Sicherheitszertifikate mit aktuellem Datum generieren, um den gesamten Datenverkehr analysieren zu können. Neben echter Schadsoftware gehören hierzu auch Programme der Werbeindustrie, die einige Benutzer freiwillig installieren, um Punkte für Bonusprogramme zu sammeln. Da die typische Reaktion der betroffenen Benutzer in einem Wechsel zu Chrome oder Edge besteht, hat man sich bei Mozilla entschlossen, die Daumenschrauben für SHA1 wieder zu lockern. Damit sind HTTPS-Verbindungen auf betroffenen Rechnern zwar wieder möglich, doch solange die Spyware nicht entfernt wurde, ist der verschlüsselte Datenverkehr alles andere als sicher. Eine echte Lösung liefert Mozillas Vorgehen leider nicht.

Autor: mid
[]







Stichworte zur Meldung: Mozilla Firefox In Version 43.0.4