Firefox 96.0 und ESR 91.5 sind fertig

Meldung von doelf, Dienstag der 11.01.2022, 20:08:10 Uhr

logo

Seit heute liegt der finale Firefox 96.0 zum Download bereit, diese Version entspricht dem zweiten Finalkandidaten. Zeitgleich wurde auch die ESR-Version 91.5 zum Download freigeben. ESR bedeutet "Extended Support Release", es handelt sich also um eine Version mit einem verlängerten Support-Zeitraum. Der Firefox 96.0 senkt die CPU-Auslastung, verbessert Mikrofonaufnahmen, die Videowiedergabe und das Teilen von Bildschirminhalten. Aus Sicherheitsgründen wurden zudem die Cookie-Richtlinien verschärft.

Diverse Verbesserungen
Mozillas Entwickler konnten die durch den Haupt-Thread des Browsers verursachte Last signifikant reduzieren und haben zum Grundschutz gegen CSRF-Angriffe (Cross-Site Request Forgery) die Vorgaben für SameSite-Cookie-Anfragen auf lax angehoben. Bei CSRF-Angriffen wird dem Opfer über eine im Browser laufende Webanwendung eine beliebige HTTP-Anfrage untergeschoben. Bei Verwendung von Gmail unter macOS öffnet das Klicken auf Links mit gleichzeitig gedrückter Command-Taste diese in einem neuen Tab. Dies ist eigentlich das zu erwartende Verhalten, doch zuletzt hatte es so nicht mehr funktioniert und der Link wurde stattdessen im Gmail-Tab geöffnet.

Kommt das Mikrofon zum Einsatz, verspricht der Firefox 96.0 erhebliche Fortschritte bei der Rauschunterdrückung und der automatischen Lautstärkeanpassung. Auch die Unterdrückung von Echos soll nun etwas besser funktionieren. Ein Fehler, der in WebRTC-Sitzungen zur Reduzierung der Auflösung beim Teilen von Bildschirminhalten geführt hatte, konnte ebenso behoben werden wie der Verlust der Synchronization Source (SSRC). Weiterhin wurde die Herabsetzung der Videoqualität auf bestimmten Seiten korrigiert. Unter macOS wurde die Anzeige losgelöster Videos im Vollbildmodus vorerst deaktiviert, um Bildfehler, Helligkeitswechsel, fehlende Untertitel und eine hohe CPU-Last zu vermeiden.

Geschlossene Sicherheitslücken
Die Sicherheitsmittelung zum Firefox 96.0 umfasst 18 Einträge, darunter neun der Kategorie hoch, sechs mittelschwere Korrekturen und drei vergleichsweise harmlose Fehler. Ein Eintrag (CVE-2022-22751) der Kategorie hoch fasst diverse Speicherfehler in den Firefox-Versionen 95 und ESR 91.4 zusammen, während eine moderate Meldung (CVE-2022-22752) weitere Speicherfehler im Firefox 95 behandelt. Betrachten wir nun die übrigen hochgefährlichen Schwachstellen, von denen drei im Zusammenspiel mit dem Vollbildmodus auftreten: So ermöglichte eine Wettlaufsituation unter Windows (CVE-2022-22746) das Umgehen der Benachrichtigung vor einem Wechsel zur Vollbildanzeige, was Angreifer für Täuschungen ausnutzen konnten. Wurde die Vollbildanzeige aus einem iFrame-Element aufgerufen, konnte ein Tab unter Kontrolle eines Angreifers die Beendigung der Vollbilddarstellung verhindern (CVE-2022-22743). Wurde die Größe eines Pop-Up-Fensters geändert, während die Vollbildanzeige angefragt wurde, konnte dieses Pop-Up den Vollbildmodus nicht mehr verlassen (CVE-2022-22741).

Beim Einfügen von Text im Bearbeitungsmodus konnten bestimmte Zeichen einen unkontrollierten Speicherzugriff und damit einen möglicherweise ausnutzbaren Absturz provozieren (CVE-2022-22742). Bei der Freigabe eines Netzwerkanforderungs-Handles wurden bestimmte Netzwerkanforderungsobjekte zu früh aus dem Speicher entfernt, was zu einem möglicherweise kontrollierbaren Absturz führte (CVE-2022-22740). Auch die Anwendung von CSS-Filtereffekten konnte aufgrund eines Stapelüberlaufs zu einem möglicherweise ausnutzbaren Crash führen (CVE-2022-22738). Eine zweite Wettlaufsituation (CVE-2022-22737) gab es zwischen dem Abspielen von Tondateien und dem Schließen von Fenstern - im Fehlerfall wurden Elemente zu früh aus dem Speicher entladen, so dass spätere Zugriffe einen möglicherweise ausnutzbaren Programmabsturz auslösten. Bleibt noch ein Ausbruch aus der iFrame-Sandbox (CVE-2021-4140), welcher sich mit Hilfe spezieller XSLT-Konstrukte herbeiführen ließ. Erwähnenswert erscheint zudem der mittelschwere Fehler CVE-2022-22749: Da beim Auswerten von QR-Codes enthaltene URLs nicht ausreichend geprüft wurden, konnte der Firefox für Android zum Laden unpassender Inhalte gebracht werden.

Download:

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]