Werbung
Star Trek: Picard exklusiv bei Amazon Prime


Firefox 77.0 und Firefox ESR 68.9 sind fertig

Meldung von doelf, Mittwoch der 03.06.2020, 10:04:49 Uhr

Der Firefox 77.0 schaltet den neuen Compositor WebRender für Windows-10-Notebooks mit NVIDIA-GPU frei, erleichtert das Zertifikatmanagement, ändert den Umgang mit überlangen Texteingaben in Formularfelder und schließt einige hochgefährliche Sicherheitslücken. Unter diesen findet sich auch ein Timing-Angriff auf DSA-Signaturen, über welchen sich in der Theorie sogar der private Schlüssel rekonstruieren lässt.

Suchmaschinen und überlange Eingaben
Während des Beta-Tests hatte Mozilla nur zwei Änderungen aufgeführt: Die im Suchmenü zur Auswahl stehenden Ein-Klick-Suchmaschinen kann man nun in den Einstellungen unter Suche (about:preferences#search) per Haken aus- bzw. abwählen und beim Kopieren in HTML-Eingabefelder (input, textarea) führt die vom Formular festgelegte Längenbegrenzung maxlength nicht mehr zu einem Beschneiden des Textes. Stattdessen erhält das Eingabefeld eine rote Umrandung und das Absenden des Formulars wird solange verhindert, bis der Text vom Benutzer auf die erlaubte Länge gekürzt wurde. Dazu kamen ein paar Neuerungen für Web-Entwickler, so kann man über das Zahnrad im Debugger ganz schnell JavaScript deaktivieren und bei der Netzwerkanalyse auf die gleiche Weise HAR-Dateien verwalten sowie das Leeren der Logs unterbinden.

WebRender, Zertifikatmanager und Pocket
In den Versionshinweisen zur finalen Version 77.0 findet sich darüber hinaus die Freischaltung des neuen Compositors WebRender für Notebooks mit Windows 10 und einer Grafiklösung von NVIDIA. WebRender wurde in Mozillas Programmiersprache Rust entwickelt und setzt viel stärker auf den Grafikprozessor, was in erster Linie Geschwindigkeitsvorteile bringt, aber auch die Akku-Laufzeit verlängern kann. Neu hinzugekommen ist ein Zertifikatmanager (about:certificate) und Benutzer im Vereinigten Königreich werden beim Öffnen leerer Tabs neuerdings mit Nachrichtenempfehlungen von Pocket beglückt. Dies lässt sich in den Einstellungen unter Startseite, Inhalte des Firefox-Startbildschirms deaktivieren.

Gestopfte Sicherheitslücken
Die Übersicht der sicherheitsrelevanten Korrekturen umfasst acht Einträge, wobei fünf davon Fehler behandeln, von denen eine hohe Gefahr ausgeht. Erwähnenswert ist dabei ein Angriff auf die Bibliothek der Network Security Services (NSS), welchen Cesar Pereida Garcia zusammen mit Forschern der Universität von Tampere im südwestlichen Finnland dokumentiert hat (CVE-2020-12399). Durch Timing-Unterschiede bei der Verarbeitung von DSA-Signaturen konnten die Wissenschaftler Rückschlüsse auf den privaten Schlüssel ziehen. Mit ausreichend Zeit ließe sich der Schlüssel vermutlich sogar rekonstruieren. Eine fehlende Typenprüfung für NativeTypes in JavaScript verursacht derweil einen Absturz, der sich möglicherweise zum Einschleusen von Schadcode eignet (CVE-2020-12406).

Download:

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]