Firefox und Thunderbird: Sicherheitsupdates und HTTPS-only-Modus

Angreifer könnten Firefox und Thunderbird Schadcode unterschieben und so eigene Befehle auf Systemen ausführen. Insgesamt gilt das von den Sicherheitslücken ausgehende Risiko als "hoch".

Mozilla hat aber nicht nur Lücken geschlossen, sondern auch eine Funktion zur Steigerung der Sicherheit beim Surfen mit Firefox eingebaut – welche aber in der Standardeinstellung nicht aktiv ist. Abgesichert sind die Versionen Firefox 83, Firefox ESR 78.5 und Thunderbird 78.5 für alle Systeme.

• Geschlossene Sicherheitslücken in Thunderbird 78.5
• Geschlossene Sicherheitslücken in Firefox ESR 78.5
• Geschlossene Sicherheitslücken in Firefox 83

Ausschließlich verschlüsselt surfen

In Firefox 83 gibt es ab sofort einen HTTPS-only-Modus. Ist dieser Modus aktiv, baut der Webbrowser immer eine verschlüsselte Verbindung via HTTPS zu Websites auf. Das geschieht beispielsweise automatisch, wenn man eine URL mit HTTP beginnend eingibt oder auf einen HTTP-Link klickt.

Unterstützt eine Website kein HTTPS, zeigt Firefox eine Warnung an, dass Dritte auf solchen Seiten beispielsweise von Nutzern eingeben Kreditkartendaten mitschneiden könnten. Wer sich des Risikos bewusst ist, kann solche Seiten trotzdem besuchen. HTTPS-only ist dann für die Seite temporär deaktiviert. In einigen Fällen laden Websites Ressourcen via HTTP nach (mixed content). In solchen Fällen kann es zu Darstellungsfehlern auf Internetseiten kommen.

HTTPS-only aktivieren

Um den HTTPS-only-Modus zu nutzen, muss man ihn in den Einstellungen von Firefox unter "Datenschutz & Sicherheits" ganz unten aktivieren. Auf Wunsch kann man den Modus in allen Fenstern oder nur privaten Fenstern nutzen. Macht HTTPS-only auf einer Seite Probleme, kann man ihn abgekürzt nach einem Klick auf das Schlosssymbol in der Adressleiste deaktivieren.

(des)