Alert!

Firefox und Thunderbird: Verbesserte Funktionen und Sicherheitskorrekturen

Die neuen Fassungen Firefox 126 und Thunderbird 115.11 schlieĂźen SicherheitslĂĽcken. Zudem bringen sie verbesserte Funktionen mit.

In Pocket speichern vorlesen Druckansicht 28 Kommentare lesen
Stilisierte Grafik: Brennendes Firefox-Logo auf einem Laptop

Sicherheitslücken in Firefox gefährden Nutzerinnen und Nutzer.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 3 Min.
Von
Inhaltsverzeichnis

Die Mozilla Foundation hat den Webbrowser Firefox in Version 126, die Version mit LangzeitunterstĂĽtzung Firefox ESR in Fassung 115.11 und den darauf basierenden Mail-Client Thunderbird ebenfalls auf Stand 115.11 herausgegeben. In allen Programmen haben die Programmierer teils hochriskante Sicherheitslecks gestopft. Aber auch neue und verbesserte Funktionen haben Einzug gehalten.

In Firefox haben die Entwickler laut der Releasenotes unter anderem die "Link ohne Website-Tracking kopieren"-Option verbessert. Sie kann jetzt auch Parameter bei verschachtelten URLs entfernen. Zudem haben die Programmierer die Unterstützung auf mehr als 300 Tracking-Parameter, etwa von Shopping-Seiten, ausgebaut. Zudem spricht Firefox nun auch zstd als Kompressionsalgorithmus. Das ist eine Alternative zu Broti und gzip, die weniger Prozessorlast bei gleicher Kompressionsrate oder höhere Kompressionsraten bei gleicher CPU-Nutzung erreicht. Mac-Nutzer und -Nutzerinnen mit Apple Silicon M3 dürfen sich über AV1-Hardwarebeschleunigung beim Dekodieren freuen.

Wer Wert auf Privatsphäre legt, sollte eine andere Standard-Suchmaschine wie DuckDuckGo einstellen, da die Entwickler ab jetzt Telemetriedaten zu rund 20 Suchkategorien sammeln – etwa "Sport", "Business" oder "Reisen". Die Sammlung erfolgt ohne Zuordnung zu Nutzern und über OHTTP, um IP-Adressen als möglicherweise identifizierbares Datum zu entfernen. Die Daten sollen auch nicht mit Drittanbietern geteilt werden.

Sicherheitslücken stopft die neue Version ebenfalls: Bei mehreren aktiven WebRTC-Threads konnten diese gleichzeitig versuchen, ein neu verbundenes Audiogerät anzufordern, was in einer Use-after-free-Lücke mündet. Auf bereits vom Programmcode freigegebene Ressourcen werde dadurch erneut zugegriffen, jedoch sind die Speicherinhalte nicht mehr definiert. Angreifer können derartige Lücken oft zum Einschleusen und Ausführen von Schadcode missbrauchen (CVE-2024-4764, kein CVSS-Wert, Risiko laut Entwicklern "hoch"). Eine fehlende Typenprüfung bei Schriften in PDF.js kann zur Ausführung beliebigen Javascript-Codes führen (CVE-2024-4367, kein CVSS-Wert, "hoch"). Neun weitere Schwachstellen mittleren Bedrohungsgrads in älteren Firefox-Versionen listet die Sicherheitsmitteilung zu Firefox 126 auf, zudem fünf Lücken, die als niedriges Risiko eingestuft wurden.

Die hochriskante LĂĽcke bei der TypenprĂĽfung von Schriften in PDF.js betrifft auch Firefox ESR und Thunderbird 115.11, deren Sicherheitsmitteilung listen die identischen Schwachstellen auf. FĂĽnf weitere SicherheitslĂĽcken mit mittlerem Schweregrad dichten die neuen Fassungen ab.

Die Releasenotes zu Thunderbird 115.11 sind äußerst kurz ausgefallen. Der mit Maus verschiebbare Trenner zwischen der Aufgabenliste und der Aufgabenbeschreibung verhielt sich nicht wie erwartet. Zudem hatten die Reihen für die Teilnehmer eines Kalender-Ereignisses die falsche Größe.

Im Versionsdialog lässt sich herausfinden, ob bereits die aktualisierten Software-Versionen mit den Sicherheitskorrekturen laufen. Der Dialog lässt sich über das Browser-Menü erreichen, das sich nach Klick auf das Symbol mit den drei übereinanderliegenden Strichen rechts von der Adressleiste befindet. Unter "Hilfe" – "Über Firefox" respektive "Über Thunderbird" öffnet er sich.

Der Versionsdialog von Firefox zeigt nicht nur die aktuell laufende Software-Version an, sondern startet bei VerfĂĽgbarkeit auch den Aktualisierungsprozess.

(Bild: Screenshot / dmk)

Ist ein Update verfügbar, stößt das auch den Aktualisierungsvorgang an. Am Ende fordert der Dialog zudem zum nötigen Neustart auf, um den neuen Softwarestand auch zu aktivieren. Unter Linux zeichnet in der Regel die Softwareverwaltung der Distribution dafür verantwortlich.

Vor etwa einem Monat hatten die Mozilla-Entwickler Version 125 des Webbrowsers Firefox herausgegeben. Darin schlossen die Entwickler 15 SicherheitslĂĽcken. Aber auch erweiterte und verbesserte Funktionen waren Teil des Updates.

(dmk)