Firefox 74: Neue Browser-Version bringt Sicherheitsverbesserungen und -fixes
Die neueste Version von Mozillas Webbrowser verabschiedet sich von TLS 1.0/1.1, fixt Lücken & soll mehr Privatsphäre bieten. Auch neu: die ESR-Version 68.6.0.
Mozilla hat die Version 74.0 von Firefox für Windows, Linux und macOS bereitgestellt. Die größte Änderung, die die Entwickler an dem beliebten Webbrowser vorgenommen haben, ist zugleich die am wenigsten überraschende: Die als unsicher geltenden TLS-Versionen 1.0 und 1.1 werden künftig nicht mehr unterstützt. Hinzu kommen kleinere Aktualisierungen, die für mehr Sicherheit und Privatsphäre beim Surfen sorgen sollen. Auch Sicherheitsfixes hat Firefox 74.0 an Bord: Sie sollen unter anderem fünf kritische Lücken schließen.
TLS-Support nur noch ab Version 1.2 aufwärts
Beim Ansurfen von Websites, die nicht mindestens Version 1.2 des Verschlüsselungsprotokolls Transport Layer Security (TLS) unterstützen, wird Nutzern künftig eine Fehlermeldung angezeigt. Die Streichung des Supports für die veralteten Protokoll-Versionen kündigten die Entwickler bereits im Oktober 2018 für März 2020 an.
Auch die Konkurrenz hegt schon länger dieselben Pläne. So will Google TLS 1.0 und 1.1 aus seinem in Kürze erscheinenden Chrome 81 verbannen. Microsoft hat denselben Schritt für seine Browser Internet Explorer und Edge etwas vage "für die erste Jahreshälfte 2020" angekündigt. Sowohl Firefox als auch Chrome zeigen bereits seit längerem Warnmeldungen für schwach verschlüsselte Verbindungen an.
Mehr Sicherheit durch kleinere Änderungen
Über den Add-ons-Manager (about:addons) sollen Nutzer Erweiterungen, die zuvor von externen Anwendungen installiert wurden, künftig problemlos wieder deinstallieren können. Darüber hinaus sollen Installationen "am Nutzer vorbei" aus Sicherheitsgründen künftig nicht mehr möglich sein.
Den Release-Notes zu Firefox 74.0 sind noch weitere kleinere sicherheitsspezifische Änderungen zu entnehmen. Unter anderem wird Nutzern im Anschluss an die Installation der neuen Browser-Version das Anti-Tracking-Add-on "Facebook Container" angeboten. Eine Technik namens "mDNS ICE" soll die Privatsphäre für Sprach- und Videoanrufe verbessern, indem die eigene IP-Adresse in bestimmten Szenarien durch eine zufällige ID verschleiert wird.
Patches gegen Remote Code Execution und Abstürze
Die vorgenommenen Sicherheits-Fixes haben die Mozilla-Entwickler wie gewohnt in einem separaten Security Advisory aufgeführt.
Fünf geschlossen Lücken mit der Risikoeinstufung "High" (CVE-2020-6805, CVE-2020-6806, CVE-2020-6807, CVE-2020-6814, CVE-2020-6815) hätten demnach von Angreifern unter bestimmten Voraussetzungen missbraucht werden können, um aus der Ferne beliebigen Code auszuführen oder "potenziell exploitbare Crashes" zu provozieren. Hinzu kommen sechs gefixte Lücken mit "Moderate"- und eine mit "Low"-Einstufung.
Update 10.03., 19:28 + 20:00: TLS 1.3 nach 1.2 korrigiert und fehlendes Verb ergänzt. Danke für die Hinweise!
Update 11.03.20, 11:15:
Firefox ESR 68.6.0 ebenfalls verfügbar
Ebenfalls am gestrigen Dienstag hat Mozilla die neue Version 68.6.0 des Extended Support Release (ESR) von Firefox veröffentlicht. Hier sind die Änderungen laut Release-Notes deutlich weniger zahlreich ausgefallen: Die neue Version bringt dieselben Security-Fixes wie Firefox 74 sowie nicht näher beschriebene Stabilitätsverbesserungen mit.
(ovw)
