Firefox 99.0 und ESR 91.8.0 schließen Sicherheitslücken

Seit gestern liegt der finale Firefox 99.0 zum Download bereit, diese Version entspricht dem zweiten Finalkandidaten. Zeitgleich wurde auch die ESR-Version 91.8 zum Download freigeben. ESR bedeutet "Extended Support Release", es handelt sich also um eine Version mit einem verlängerten Support-Zeitraum. Der Firefox 99.0 härtet die Sandbox unter Linux, beide Versionen schließen zudem mehrere Sicherheitslücken.

Die Neuerungen
Die übrigen Neuerungen halten sich in Grenzen: So unterstützt der integrierte PDF-Betrachter des Firefox 99.0 nun die Suche mit oder ohne diakritische Zeichen. Bei diakritischen Zeichen, auch als Akzentzeichen bekannt, handelt es sich um Striche, Punkte oder Häkchen, die einem Buchstaben hinzugefügt werden, um eine besondere Aussprache oder Betonung zu kennzeichnen. Im deutschen Sprachraum wären das die Umlaute ä, ö und ü. In der Leseansicht kann man das Vorlesen der Inhalte nun mit der Taste n starten und auch wieder anhalten. Unter Linux wurde die Sandbox gehärtet, indem die Entwickler den Zugriff auf das X-Window-System (X11) für alle Prozesse, die Webinhalten ausgesetzt sind, gekappt haben. Das automatische Eintragen von Kreditkarteninformationen wird nun auch für Deutschland und Frankreich unterstützt. Dabei ist zu beachten, dass der Firefox aus Sicherheitsgründen auf das Speichern der dreistelligen Kartenprüfnummer (CVC) verzichtet.

Vorerst Verschoben
In den Beta-Versionen des Firefox 99.0 für Windows, macOS und Linux war noch die Programmierschnittstelle WebMIDI aktiviert. Bei MIDI handelt es sich tatsächlich um das altbekannte Musical Instrument Digital Interface, also die digitale Schnittstelle von Musikinstrumenten. Das Hot-Plugging von Musikinstrumenten wurde noch nicht erkannt und für den Zugriff musste ein Site Permission Add-on für die jeweilige Webseite bereitgestellt werden (AMO Site Permission Generator, Anleitung). Leider gab es aber noch zu viele Probleme, weshalb die Freigabe von WebMIDI erst einmal auf Eis gelegt wurde. Die neuen Bildlaufleisten für Linux und Windows 11 sind nun für den Firefox 100 geplant.

Im Anflug: Das Version-100-Problem
Wo wir gerade beim Firefox 100 sind: Für Beta-Tester wird es jetzt spannend, denn mit dem Firefox 100 wird die Hauptversion von Mozillas Webbrowser dreistellig und das bringt nach wie vor einige Webseiten in Schwitzen. Die Hintergründe erklären wir in der Meldung zum Version-100-Problem.

Aktuelle Probleme mit dem Galerie-Modus von Zoom
Mit dem Firefox 99.0 ist der Galerie-Modus von Zoom zwar verfügbar, doch es gibt noch Probleme. So funktioniert die Videoanzeige mit Breakout-Räumen im Galeriemodus nicht zuverlässig. Betritt der Nutzer einen solchen Raum, werden seine eigene Ansicht und die anderer Teilnehmer möglicherweise nicht angezeigt. Als Workaround kann man den Raum verlassen und erneut betreten. Breakout-Räume dienen dazu, ein Zoom Meeting in bis zu 50 separate Sitzungen aufzuteilen.

Die Sicherheitskorrekturen
Der Sicherheitshinweis zum Firefox 99.0 führt elf Korrekturen auf, beim Firefox ESR 91.8.0 sind es acht. Von drei dieser Schwachstellen geht eine hohe Gefahr aus, sie betreffen jeweils beide Versionen des Webbrowsers. Neben den Speicherfehlern, die Mozilla wie üblich in einer Meldung zusammenfasst (CVE-2022-28289), handelt es sich um unkontrollierten Schreibzugriff (CVE-2022-28281) und den Zugriff auf ein nicht mehr im Speicher befindliches NSSToken-Objekt (CVE-2022-1097). Diese Sicherheitslücken können zum Absturz des Firefox führen und lassen sich möglicherweise für Angriffe missbrauchen. Eine tatsächliche Ausnutzung der Fehler konnte bisher nicht belegt werden.

Download:

• Firefox 99.0
• Firefox ESR 91.8.0