Der Firefox 96.0.2 behebt einige Fehler

Meldung von doelf, Sonntag der 23.01.2022, 16:23:58 Uhr

logo

Mit der Veröffentlichung des Firefox 96.0.2 haben Mozillas Entwickler drei Fehler behoben, darunter ein Programmabsturz bei der Größenänderung von Facebook-Apps. Zuvor hatte bereits die Version 96.0.1 zwei andere Bugs beseitigt. Der Firefox 96 senkt die CPU-Auslastung, verbessert Mikrofonaufnahmen, die Videowiedergabe und das Teilen von Bildschirminhalten.

Die Fehlerkorrekturen im Firefox 96.0.2 und 96.0.1
Abgesehen vom Programmabsturz bei der Größenänderung von Facebook-Apps repariert die Version 96.0.2 die zuvor in privaten Tabs leeren Dropdown-Menüs von Lastpass sowie eine inkonsistente Tab-Höhe während der Wiedergabe von Audioinhalten, welche allerdings auf Linux beschränkt war. Der Firefox 96.0.1 hatte zuvor eine robustere Umsetzung für das Parsen des HTTP-Headers Content-Length erhalten. Zudem wurde ein Fehler beseitigt, der die Anwendung von Proxy-Regeln unter Windows verhindert hatte, solange die Option Proxy-Einstellungen des Systems verwenden aktiviert war. Keine der aufgeführten Korrekturen ist sicherheitstechnisch relevant.

Betrachten wir nun noch die Neuerungen des Firefox 96:

Diverse Verbesserungen
Mozillas Entwickler konnten die durch den Haupt-Thread des Browsers verursachte Last signifikant reduzieren und haben zum Grundschutz gegen CSRF-Angriffe (Cross-Site Request Forgery) die Vorgaben für SameSite-Cookie-Anfragen auf lax angehoben. Bei CSRF-Angriffen wird dem Opfer über eine im Browser laufende Webanwendung eine beliebige HTTP-Anfrage untergeschoben. Bei Verwendung von Gmail unter macOS öffnet das Klicken auf Links mit gleichzeitig gedrückter Command-Taste diese in einem neuen Tab. Dies ist eigentlich das zu erwartende Verhalten, doch zuletzt hatte es so nicht mehr funktioniert und der Link wurde stattdessen im Gmail-Tab geöffnet.

Kommt das Mikrofon zum Einsatz, verspricht der Firefox 96.0 erhebliche Fortschritte bei der Rauschunterdrückung und der automatischen Lautstärkeanpassung. Auch die Unterdrückung von Echos soll nun etwas besser funktionieren. Ein Fehler, der in WebRTC-Sitzungen zur Reduzierung der Auflösung beim Teilen von Bildschirminhalten geführt hatte, konnte ebenso behoben werden wie der Verlust der Synchronization Source (SSRC). Weiterhin wurde die Herabsetzung der Videoqualität auf bestimmten Seiten korrigiert. Unter macOS wurde die Anzeige losgelöster Videos im Vollbildmodus vorerst deaktiviert, um Bildfehler, Helligkeitswechsel, fehlende Untertitel und eine hohe CPU-Last zu vermeiden.

Geschlossene Sicherheitslücken
Die Sicherheitsmittelung zum Firefox 96.0 umfasst 18 Einträge, darunter neun der Kategorie hoch, sechs mittelschwere Korrekturen und drei vergleichsweise harmlose Fehler. Ein Eintrag (CVE-2022-22751) der Kategorie hoch fasst diverse Speicherfehler in den Firefox-Versionen 95 und ESR 91.4 zusammen, während eine moderate Meldung (CVE-2022-22752) weitere Speicherfehler im Firefox 95 behandelt. Betrachten wir nun die übrigen hochgefährlichen Schwachstellen, von denen drei im Zusammenspiel mit dem Vollbildmodus auftreten: So ermöglichte eine Wettlaufsituation unter Windows (CVE-2022-22746) das Umgehen der Benachrichtigung vor einem Wechsel zur Vollbildanzeige, was Angreifer für Täuschungen ausnutzen konnten. Wurde die Vollbildanzeige aus einem iFrame-Element aufgerufen, konnte ein Tab unter Kontrolle eines Angreifers die Beendigung der Vollbilddarstellung verhindern (CVE-2022-22743). Wurde die Größe eines Pop-Up-Fensters geändert, während die Vollbildanzeige angefragt wurde, konnte dieses Pop-Up den Vollbildmodus nicht mehr verlassen (CVE-2022-22741).

Beim Einfügen von Text im Bearbeitungsmodus konnten bestimmte Zeichen einen unkontrollierten Speicherzugriff und damit einen möglicherweise ausnutzbaren Absturz provozieren (CVE-2022-22742). Bei der Freigabe eines Netzwerkanforderungs-Handles wurden bestimmte Netzwerkanforderungsobjekte zu früh aus dem Speicher entfernt, was zu einem möglicherweise kontrollierbaren Absturz führte (CVE-2022-22740). Auch die Anwendung von CSS-Filtereffekten konnte aufgrund eines Stapelüberlaufs zu einem möglicherweise ausnutzbaren Crash führen (CVE-2022-22738). Eine zweite Wettlaufsituation (CVE-2022-22737) gab es zwischen dem Abspielen von Tondateien und dem Schließen von Fenstern - im Fehlerfall wurden Elemente zu früh aus dem Speicher entladen, so dass spätere Zugriffe einen möglicherweise ausnutzbaren Programmabsturz auslösten. Bleibt noch ein Ausbruch aus der iFrame-Sandbox (CVE-2021-4140), welcher sich mit Hilfe spezieller XSLT-Konstrukte herbeiführen ließ. Erwähnenswert erscheint zudem der mittelschwere Fehler CVE-2022-22749: Da beim Auswerten von QR-Codes enthaltene URLs nicht ausreichend geprüft wurden, konnte der Firefox für Android zum Laden unpassender Inhalte gebracht werden.

Download:

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]