Mozilla erweitert Datenschutz und Sicherheit von Firefox und Thunderbird

In aktuellen Versionen von Firefox, Firefox ESR und Thunderbird haben die Entwickler mehrere Sicherheitsprobleme gelöst. Insgesamt stuft Mozilla die Auswirkungen von erfolgreichen Attacken als "hoch" ein. Außerdem hat der Webbrowser neue Datenschutzfunktionen spendiert bekommen und lehnt unter bestimmten Voraussetzungen nun Cookie-Banner ab.

Gefährliche Sicherheitslücken

Angreifer können Firefox und Thunderbird auf nicht näher beschriebenen Wegen attackieren und unter anderem Speicherfehler (CVE-2023-6204 "hoch", CVE-2023-6205 "hoch") auslösen. Darüber sind unbefugte Zugriffe auf Speicherbereiche möglich und Schadcode kann auf das System gelangen. Ist das der Fall, erlangen Angreifer normalerweise die volle Kontrolle über Computer.

Zudem können Angreifer bei der kurzen Schwarzblenden-Animation beim Wechsel aus dem Vollbildmodus für eine Clickjacking-Attacke (CVE-2023-6206 "hoch") ansetzen. In diesem Fall könnten Opfer unbeabsichtigt ein Fenster mit einer Rechteerweiterung abnicken. Unter iOS ist im Kontext des Reader-Modus das Extrahieren eines Sicherheitsschlüssels vorstellbar.

Mozilla gibt an, die Ausgaben Firefox 120, Firefox for iOS 120, Firefox ESR 115.5 und Thunderbird 115.5.0 gegen die geschilderten Attacken abgesichert zu haben.

Erweiterter Datenschutz

Die aktuelle Firefox-Version lehnt nun in privaten Fenstern auf vielen, aber nicht allen Websites Cookies ab. Zusätzlich soll dank des Canvas-Fingerprinting-Schutzes und der Unterstützung von Global Privacy Control (GPC) Tracking noch effektiver unterbunden werden. Überdies werden Webseiten-Links ab sofort ohne Tracking-Parameter kopiert. Standardmäßig importiert der Browser jetzt etwa TLS-Zertifikate aus dem Zertifikatsspeicher von unter anderem Windows.

(des)