Werbung
Innovationen treffen Unsinn: amazon.de launchpad - kickstarter


Firefox 85.0 und ESR 78.7.0 stopfen mehrere Sicherheitslücken

Meldung von doelf, Dienstag der 26.01.2021, 22:50:13 Uhr

logo

Am heutigen Abend wurden der finale Firefox 85.0 und die ESR-Version 78.7.0 zum Download freigegeben. Während für die ESR-Version 78.7.0 fünf sicherheitsrelevante Änderungen genannt werden, sind es beim Firefox 85.0 bereits 13. Dazu kommen ein neuer Schutz vor Super-Cookies sowie mehrere Optimierungen beim Arbeiten mit Lesezeichen. Adobes Flash wurde derweil komplett entfernt und lässt sich auch nicht mehr zurückholen.

Flash ist dann mal weg
Der Abschied von Flash war lange überfällig und wurde seit Jahren angekündigt. Adobe selbst hatte am 12. Januar 2021 die aktuellen Versionen des Flash Players außer Betrieb gesetzt, da dem Flash-Erfinder die weitere Verwendung der nicht mehr gepflegten Software zu heikel war. Hartgesottene installieren veraltete Versionen des Flash Players, um diese Sperre zu umgehen, doch von diesem Vorgehen können wir nur abraten. Das wäre in etwa genauso clever wie der dauerhafte Ausbau der Haustüre, nur weil man seinen Schlüssel verloren hat.

Die richtigen Neuerungen
Bei Super-Cookies handelt es sich um Tracker, welche die Cookie-Vorgaben des Webbrowsers umgehen, um den Nutzern nachzustellen. Der Firefox 85.0 isoliert diese Plagegeister, so dass ihr Zugriff auf ihre Ursprungsseite beschränkt bleibt. Der Umgang mit Lesezeichen verbessert: Firefox merkt sich neuerdings den bevorzugten Speicherort für Lesezeichen, blendet die Lesezeichenleiste standardmäßig auf neuen Tabs ein und verlinkt die Lesezeichen in der Werkzeugleiste. Über die Eingabe von about:logins in die Befehlszeile lassen sich jetzt nicht nur einzelne Anmeldedaten löschen, sondern gleich alle auf einmal.

Geschlossene Sicherheitslücken
Von den 13 Sicherheitsmeldungen für den Firefox 85.0 wurden fünf als hochgefährlich eingestuft. Dazu kommen sechs mittelschwere Probleme und zwei vergleichsweise harmlose Fehler. So kann ein Angreifer über speziell gestaltete PDF-Dateien auf Daten anderer Domains zugreifen (CVE-2021-23953) oder durch die missbräuchliche Nutzung von requestPointerLock Clickjacking in anderen Tabs betreiben (CVE-2021-23955). Eine Typenverwechslung beim Verwenden der neuen logischen Zuweisungsoperatoren in einer JavaScript-Switch-Anweisung führt zu einem Speicherfehler, der sich möglicherweise zum Einschleusen von Schadcode eignet (CVE-2021-23954).

Download:

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]