Firefox 115 und Thunderbird 102.13 dichten Sicherheitslecks ab
Die Mozilla-Foundation hat Firefox 115, Firefox ESR 115 und Thunderbird 102.13 veröffentlicht. Die neuen Versionen schließen zahlreiche Sicherheitslücken.
(Bild: heise online)
Firefox 115, Firefox ESR 115 und Thunderbird 102.13 – die Mozilla-Foundation hat die populären Browser und Mailprogramme in aktualisierten Fassungen veröffentlicht. Im Wesentlichen dichten die neuen Versionen zahlreiche, teils hochriskante Sicherheitslücken ab. Das zeitnahe Update ist daher anzuraten.
In Firefox 115 haben die Entwickler 13 Schwachstellen geschlossen. Davon gelten ihnen vier als hohes Risiko, acht als mittleres und eine als niedriges. Als hohes Risiko stufen die Entwickler eine Use-after-free-Lücke in WebRTC ein, bei der auf Ressourcen nach ihrer Freigabe erneut zugegriffen wird – Zugriffe auf undefinierte Bereiche können Angreifer oftmals zum Einschmuggeln von Schadcode missbrauchen (CVE-2023-37201). Auch in der Javascript-Engine Spidermonkey fand sich solch ein Leck (CVE-2023-37202). Ebenfalls ein hoher Bedrohungsgrad ging von Speicher-Sicherheitsfehlern aus (CVE-2023-37211, CVE-2023-37212).
Neue Funktionen sind Mangelware. Beim Wechsel etwa von Chrome kann Firefox nun darin hinterlegte Zahlungsmethoden importieren, unter Linux ist beim Einsatz von Intel-GPUs hardwarebeschleunigte Video-Dekodierung aktiviert und das Tab-Manager-Dropdown-Menü zeigt nun "Schließen"-Schaltflächen, um Tabs schneller schließen zu können.
Firefox: Version mit Langzeitunterstützung
Die Mozilla-Foundation bringt den Firefox-Browser mit Langzeitunterstützung ebenfalls auf den Stand 115 und schließt darin dieselben Schwachstellen wie der Browser im Standard-Release-Kanal. Allerdings haben sie auch Firefox ESR 102.13 herausgegeben, der etwa Basis für das Mailprogramm Thunderbird oder den anonymisierenden Tor-Browser ist.
Die Fassung Firefox ESR 102.13 schließt fünf Sicherheitslücken, von denen drei ein hohes Risiko für Nutzer darstellen. Es sind dieselben Lücken in WebRTC und Spidermonkey sowie eine der Speicher-Sicherheitslücken. Diese finden sich identisch auf der Liste an geschlossenen Sicherheitslecks für Thunderbird 102.13. Thunderbird 102.13 ist zum Meldungszeitpunkt jedoch noch nicht per automatischem Update zu erhalten; die Release-Notes haben die Entwickler ebenfalls noch nicht veröffentlicht.
Support-Ende für Windows 7 und 8 sowie altes macOS naht
Die Firefox-Entwickler betont in den Release-Notes zu Firefox 115, dass das die letzte Version mit Unterstützung für Windows 7 und Windows 8 ist. Auf diesen Betriebssystemen würden die Nutzerinnen und Nutzer automatisch auf den Stand Firefox ESR 115 aktualisiert. Das soll die Versorgung mit wichtigen Sicherheits-Updates sicherstellen.
Denselben Plan verfolgen sie für macOS 10.12, 10.13 und 10.14. Betroffene Nutzerinnern und Nutzer erhalten auch hier den Versionssprung auf Firefox ESR 115.
Versionsprüfung
Da die geschlossenen Lücken teils als hochriskant eingestuft wurden, sollten Firefox-Nutzer sicherstellen, dass die aktuelle Version bereits bei ihnen läuft. Andernfalls laufen sie Gefahr, sich beim Besuch einer manipulierten Webseite Malware einzufangen.
(Bild: Screenshot / dmk)
Dazu müssen sie das Einstellungsmenü öffnen, was durch einen Klick auf das "Hamburger-Menü", also dem Symbol mit den drei waagerechten Strichen rechts von der Adressleiste, dann weiter über "Hilfe" hin zu "Über Firefox" (respektive bei Thunderbird "Über Thunderbird") gelingt. Das zeigt die aktuell laufende Version und stößt gegebenenfalls den Aktualisierungsvorgang an; an dessen Ende ist ein Browser-Neustart nötig. Linux-Nutzer müssen für gewöhnlich die Software-Verwaltung ihrer eingesetzten Version anwerfen und diese nach Aktualisierungen suchen lassen.
Vor rund einem Monat hatte die Mozilla-Foundation Firefox 114 und ESR 102.12 veröffentlicht. Auch darin mussten die Entwickler teils hochriskante Schwachstellen ausbessern.
(dmk)
