Firefox und Thunderbird: Verbesserte Funktionen und Sicherheitskorrekturen

Inhaltsverzeichnis

Die Mozilla Foundation hat den Webbrowser Firefox in Version 126, die Version mit Langzeitunterstützung Firefox ESR in Fassung 115.11 und den darauf basierenden Mail-Client Thunderbird ebenfalls auf Stand 115.11 herausgegeben. In allen Programmen haben die Programmierer teils hochriskante Sicherheitslecks gestopft. Aber auch neue und verbesserte Funktionen haben Einzug gehalten.

In Firefox haben die Entwickler laut der Releasenotes unter anderem die "Link ohne Website-Tracking kopieren"-Option verbessert. Sie kann jetzt auch Parameter bei verschachtelten URLs entfernen. Zudem haben die Programmierer die Unterstützung auf mehr als 300 Tracking-Parameter, etwa von Shopping-Seiten, ausgebaut. Zudem spricht Firefox nun auch zstd als Kompressionsalgorithmus. Das ist eine Alternative zu Broti und gzip, die weniger Prozessorlast bei gleicher Kompressionsrate oder höhere Kompressionsraten bei gleicher CPU-Nutzung erreicht. Mac-Nutzer und -Nutzerinnen mit Apple Silicon M3 dürfen sich über AV1-Hardwarebeschleunigung beim Dekodieren freuen.

Firefox: Sicherheitskorrekturen

Wer Wert auf Privatsphäre legt, sollte eine andere Standard-Suchmaschine wie DuckDuckGo einstellen, da die Entwickler ab jetzt Telemetriedaten zu rund 20 Suchkategorien sammeln – etwa "Sport", "Business" oder "Reisen". Die Sammlung erfolgt ohne Zuordnung zu Nutzern und über OHTTP, um IP-Adressen als möglicherweise identifizierbares Datum zu entfernen. Die Daten sollen auch nicht mit Drittanbietern geteilt werden.

Sicherheitslücken stopft die neue Version ebenfalls: Bei mehreren aktiven WebRTC-Threads konnten diese gleichzeitig versuchen, ein neu verbundenes Audiogerät anzufordern, was in einer Use-after-free-Lücke mündet. Auf bereits vom Programmcode freigegebene Ressourcen werde dadurch erneut zugegriffen, jedoch sind die Speicherinhalte nicht mehr definiert. Angreifer können derartige Lücken oft zum Einschleusen und Ausführen von Schadcode missbrauchen (CVE-2024-4764, kein CVSS-Wert, Risiko laut Entwicklern "hoch"). Eine fehlende Typenprüfung bei Schriften in PDF.js kann zur Ausführung beliebigen Javascript-Codes führen (CVE-2024-4367, kein CVSS-Wert, "hoch"). Neun weitere Schwachstellen mittleren Bedrohungsgrads in älteren Firefox-Versionen listet die Sicherheitsmitteilung zu Firefox 126 auf, zudem fünf Lücken, die als niedriges Risiko eingestuft wurden.

Aktualisierungen in Thunderbird und Firefox ESR 115.11

Die hochriskante Lücke bei der Typenprüfung von Schriften in PDF.js betrifft auch Firefox ESR und Thunderbird 115.11, deren Sicherheitsmitteilung listen die identischen Schwachstellen auf. Fünf weitere Sicherheitslücken mit mittlerem Schweregrad dichten die neuen Fassungen ab.

Die Releasenotes zu Thunderbird 115.11 sind äußerst kurz ausgefallen. Der mit Maus verschiebbare Trenner zwischen der Aufgabenliste und der Aufgabenbeschreibung verhielt sich nicht wie erwartet. Zudem hatten die Reihen für die Teilnehmer eines Kalender-Ereignisses die falsche Größe.

Versionsprüfung

Im Versionsdialog lässt sich herausfinden, ob bereits die aktualisierten Software-Versionen mit den Sicherheitskorrekturen laufen. Der Dialog lässt sich über das Browser-Menü erreichen, das sich nach Klick auf das Symbol mit den drei übereinanderliegenden Strichen rechts von der Adressleiste befindet. Unter "Hilfe" – "Über Firefox" respektive "Über Thunderbird" öffnet er sich.

Ist ein Update verfügbar, stößt das auch den Aktualisierungsvorgang an. Am Ende fordert der Dialog zudem zum nötigen Neustart auf, um den neuen Softwarestand auch zu aktivieren. Unter Linux zeichnet in der Regel die Softwareverwaltung der Distribution dafür verantwortlich.

Vor etwa einem Monat hatten die Mozilla-Entwickler Version 125 des Webbrowsers Firefox herausgegeben. Darin schlossen die Entwickler 15 Sicherheitslücken. Aber auch erweiterte und verbesserte Funktionen waren Teil des Updates.

(dmk)