Webbrowser: Sicherheitsupdates fĂĽr Chrome und Firefox
Sowohl Google als auch die Mozilla-Stiftung haben Aktualisierungen ihrer Webbrowser Chrome und Firefox herausgegeben. Sie schlieĂźen viele SicherheitslĂĽcken.
Die groĂźen Browser-Anbieter Google und Mozilla Foundation haben ihre Webbrowser Chrome und Firefox sowie das Mailprogramm Thunderbird aktualisiert. Die neuen Versionen schlieĂźen vor allem mehrere, teils hochriskante SicherheitslĂĽcken. Beide Browser haben dabei einen Versionssprung vollzogen: Chrome ist nun in Entwicklungszweig 124 angekommen, Firefox hingegen bei 125.
Google hat sich laut Versionsankündigung um 22 Schwachstellen gekümmert. Davon erreichen drei die Risikoeinstufung "hoch", sechs "mittel" und vier "niedrig" – zu neun Lücken fehlen jedwede Informationen, sie wurden offenbar nicht von externen IT-Forschern gemeldet. Am schwerwiegendsten ist ein Sicherheitsleck in der Javascript-Engine V8, in der eine "Object corruption" auftreten kann (CVE-2024-3832, kein CVSS-Wert, Risiko laut Google "hoch"). Der Melder kann dafür 20.000 US-Dollar Belohnung einstreichen. Auch in WebAssembly kann eine "Object corruption" auftreten (CVE-2024-3833, kein CVSS-Wert, hoch), während in der Downloads-Komponente eine Use-after-free-Lücke geschlossen wurde (CVE-2024-3834, kein CVSS-Wert, hoch).
Neben Chrome auch Firefox mit SicherheitslĂĽcken
In Firefox haben die Entwickler ihrer Schwachstellenmeldung zufolge hingegen 15 Sicherheitslecks ausgebessert. Davon stufen sie neun als hohes Risiko, fĂĽnf als mittleres und eines als niedrigen Bedrohungsgrad ein. Unter anderem konnte der Just-in-time-Compiler (JIT) falsche Objekte zurĂĽckliefern, die Garbage Collection ist von einer Use-after-free-LĂĽcke betroffen oder nach einer fehlerhaften Optimierung eines Switch
-Statements kann ein Lese-Zugriff auĂźerhalb vorgesehener Speicherbereiche auftreten.
Die Schwachstellen mit hohem Risiko in den Webbrowsern lassen sich von Angreifern in der Regel mit speziell präparierten HTML-Seiten ausnutzen, um Opfern Schadcode unterzujubeln.
Für Googles Sprung auf den 12er-Entwicklungszweig gibt es derzeit keine Hinweise auf neue Funktionen oder nicht-sicherheitsrelevante Korrekturen. Firefox unterstützt ab Version 125.0.1 die Encrypted Media Extensions (EME) mit dem AV1-Codec, was höhere Qualität bei der Wiedergabe von Videos von Videostreaming-Anbietern ermöglicht. Der interne PDF-Viewer unterstützt Hervorhebung in Texten. Der Browser soll Downloads von potenziell als nicht vertrauenswürdig eingestuften Quellen stärker ("more proactively") blockieren. Wenn eine URL in der Zwischenablage liegt und Nutzer oder Nutzerinnen in die Adressleiste klicken, soll die URL als Autovervollständigen-Kandidat angezeigt werden, sodass die Adresse mit einem Klick ausgewählt und angesurft werden kann. Weitere kleine Änderungen finden sich in den Firefox-Releasenotes.
Firefox weist beim ersten Start nach der Aktualisierung auf den neuen Browser-Benchmark Speedometer 3.0 hin und ermutigt zu dessen Nutzung. Die Geschwindigkeit habe sich bis zu 25 Prozent erhöht bezüglich der Seitenladezeiten, schreiben Mozillas Entwickler. Mitte März wurde der Benchmark veröffentlicht. Vergangene Woche hatte Apple die Werbetrommel dafür gerührt, dass der Webbrowser Safari darin sogar 60 Prozent schneller sei.
Aktuelle Versionsstände
Die Fehler beseitigen die Chrome-Versionen 124.0.6367.54 für Android, 124.0.6367.60 für Linux sowie 124.0.6367.60/.61 für macOS und Windows. Die Extended Stable-Fassung macht ebenfalls den Sprung in den 124-er-Zweig und ist mit dem Stand 124.0.6367.60/.61 für macOS und Windows aktuell. Die Aktualisierung lässt sich durch Klick auf das Einstellungsmenü, das sich hinter dem Symbol mit den drei aufeinanderliegenden Punkten rechts von der Adressleiste befindet und dem weiteren Weg über "Hilfe" – "Über Google Chrome" mit dem sich öffnenden Versionsdialog anstoßen, sofern sie nicht schon installiert wurde.
Firefox ist als Version 125.0.1 aktuell, es gibt jedoch auch die Firefox ESR-Version, die auf Stand 115.10 gehievt wurde und vier SicherheitslĂĽcken von hohem Bedrohungsgrad, vier mittlere und eine mit niedrigem Risiko schlieĂźt. Welche SicherheitslĂĽcken Thunderbird 115.10 schlieĂźt, ist mangels Security-Advisory von Mozilla noch unklar. Die neue Version korrigiert den Thunderbird-Releasenotes zufolge jedoch einige kleinere Fehler; in der Regel schlieĂźt Thundbird dieselben SicherheitslĂĽcken wie die gleichlautende Firefox-ESR-Version, auf der das Mailprogramm fuĂźt.
Im Mozilla-Webbrowser öffnet sich nach Klick auf das Symbol mit den drei aufeinanderliegenden Strichen rechts von der Adressleiste das Einstellungsmenü, wo sich unter "Hilfe" – "Über Firefox" der Versionsdialog öffnet und ebenfalls bei Verfügbarkeit den Update-Prozess anstößt.
Unter Linux zeichnet in der Regel die Softwareverwaltung der genutzten Distribution fĂĽr die Aktualisierung der Software verantwortlich. Linux-Nutzer und -Nutzerinnen sollten sie daher einmal starten und nach verfĂĽgbaren Updates suchen lassen.
Da auch andere Webbrowser die Chromium-Quellen nutzen, sind fĂĽr diese in KĂĽrze ebenfalls Updates zu erwarten. Das betrifft etwa Microsofts Edge-Browser.
Thunderbird 115.10 ist ebenfalls erschienen, jedoch fehlt noch das Security-Advisory der Mozilla-Entwickler dazu. Die Meldung haben wir entsprechend ergänzt.
(dmk)