Nachrichten

Version 58.0.1 veröffentlicht

Mozilla liefert Sicherheits-Update für Firefox-Browser

Internet | HT4U.net
Der Firefox 58.0 muss einen außerplanmäßigen Boxenstopp einlegen, da Mozillas Entwickler Johann Hofmann einen kritischen Sicherheitsfehler entdeckt hat: Aufgrund einer unzureichenden Prüfung können Inhalte in die Benutzeroberfläche des Browsers gelangen, über die Angreifer beliebigen Code ausführen können. Im Firefox 58.0.1 wurde diese Lücke geschlossen.

Zugleich wurde ein Problem beim Laden von Webseiten behoben, welches ausschließlich unter Windows auftritt. Ausgelöst wird dieses von bestimmten Sicherheitsrichtlinien, welche beispielsweise von der "Windows Defender Exploit Protection" oder den Webroot-Sicherheitsprodukten gesetzt werden. Sind diese vorhanden, kann der Firefox 58.0 weder Webseiten noch die internen about-Seiten anzeigen.

Die Neuerungen des Firefox 58.0

Waren virtuelle Web-Realitäten bisher Windows vorbehalten, kann WebVR nun auch unter Mac OS genutzt werden. Das automatische Ausfüllen von Formularen lässt sich für Kreditkartendaten nutzen, und bei den Sprachen ist Nepalesisch (ne-NP) hinzugekommen. Um den Seitenladevorgang zu beschleunigen, speichert der Firefox 58 interne JavaScript-Repräsentationen zwischen. Unter Windows wurde zudem das Rendering der Webseiten beschleunigt, indem das Zeichnen aus dem Haupt-Thread des Browsers ausgelagert wurde.

Sicherheitsrelevante Änderungen

Ebenfalls im Laufe der Betaphase wurden Maßnahmen integriert, welche die bekannten Angriffsvektoren von Meltdown und Spectre auf aktuelle Prozessoren unterbinden. Da diese Angriffe nur dann funktionieren, wenn der Angreifer eine genaue Zeitmessung durchführen kann, hat Mozilla die Schärfe für die Funktion performance.now() von 5 auf 20 Mikrosekunden angehoben. Zusätzlich wurde der SharedArrayBuffer deaktiviert, da man über diesen eine genauere Zeitmessung verwirklichen könnte. Dieselben Änderungen finden sich auch im aktuellen Firefox 57.0.4. Die Entwickler haben zudem Absturzberichte bezüglich abgestürzter Hintergrund-Tabs deaktiviert, die auch dann übertragen wurden, wenn der Benutzer noch keine Zustimmung erteilt hatte.

Hinweise und Probleme

Aufgrund neuer Sicherheitsrestriktionen ist die Tonwiedergabe beim Zugriff über einen Remote-Desktop derzeit nicht möglich. Es gibt auch Leistungsdefizite im Zusammenspiel mit bestimmten Bildschirmlesern. Nutzer solcher Hilfsmittel sollten vorerst beim Firefox ESR bleiben. Wie schon beim Firefox 57 ist das Downgrade eines Profils nicht mehr möglich. Wer den Firefox 58 Beta installiert, kann daher nicht einfach mit demselben Profil zum Firefox 57 oder älter zurückkehren. Mozilla empfiehlt, im Falle eines Downgrades grundsätzlich ein neues Profil anzulegen.

Autor: mid
[]