Firefox 100.0 und ESR 91.9.0 bringen Neuerungen und beheben Fehler

Seit gestern liegt der finale Firefox 100.0 zum Download bereit, diese Version entspricht dem zweiten Finalkandidaten. Zeitgleich wurde auch die ESR-Version 91.9 zum Download freigeben. ESR bedeutet "Extended Support Release", es handelt sich also um eine Version mit einem verlängerten Support-Zeitraum. Der Firefox 100.0 bringt zahlreiche Optimierungen für die Video-Wiedergabe sowie praktische Neuerungen wie eine mehrsprachige Rechtschreibprüfung. Beide Versionen schließen zudem mehrere Sicherheitslücken. Zugleich bereitet die Versionsnummer 100 auf einigen Webseiten Probleme, beispielsweise beim Kundenportal der Commerzbank.

Zahlreiche Neuerungen rund um die Video-Wiedergabe
Die Bild-in-Bild-Wiedergabe (Picture-in-Picture) von Videos unterstützt nun auch die Anzeige von Bildunterschriften und Untertiteln bei Diensten wie YouTube, Prime Video und Netflix sowie bei Anbietern, die auf WebVTT (Web Video Text Track) setzen. Als Beispiele nennt Mozilla die Canadian Broadcasting Corporation und Coursera.org. Die Mac-Version des Browsers hat die Hochkontrastbildwiedergabe (HDR) erlernt, den Anfang macht dort YouTube. Neben einem HDR-tauglichen Bildschirm wird hierfür macOS 11 oder höher benötigt. HDR wird automatisch verwendet, solange im Energiemanagement die Option zur Optimierung des Video-Streamings im Batteriebetrieb deaktiviert bleibt. Unter Windows wurde die AV1-Dekodierung in der Hardware für kompatible Grafiklösungen freigeschaltet. Hierzu gehören AMDs RDNA-2-Architektur mit Ausnahme von Navi 24, Intels Grafiklösungen der elften Generation sowie NVIDIAs GeForce-30-Serie. Für Grafiklösungen von Intel wurde unter Windows zudem die Videoüberlagerung aktiviert, was die Leistungsaufnahme reduzieren dürfte.

Weitere Neuerungen
Beim ersten Start überprüft der Firefox 100, ob seine Sprachversion mit der des Betriebssystems übereinstimmt. Ist dies nicht der Fall, bietet er die zum Betriebssystem passende Sprachversion als Alternative an. Die Rechtschreibprüfung kann nun mehrere Sprachen gleichzeitig prüfen. Zusätzliche Sprachen können im Kontextmenü eines Textfeldes aktiviert oder hinzugefügt werden. Die Priorisierung von Zeichenoperationen über andere Ereignissen wurde fairer gestaltet, wovon beispielsweise der Lautstärkeregler von Twitch profitiert. Unter Windows 11 und Linux nehmen die Scroll-Leisten standardmäßig keinen Platz mehr ein. Unter Linux lässt sich dieses Verhalten in den Einstellungen des Browsers ändern, unter Windows übernimmt der Firefox die Systemvorgaben. Aus Gründen des Datenschutzes werden weniger eingeschränkte Referrer-Richtlinien (unsafe-url, no-referrer-when-downgrade, origin-when-cross-origin) bei seitenübergreifenden Zugriffen auf Unterressourcen und Iframes neuerdings ignoriert. Das automatische Ausfüllen und Erfassen von Kreditkarten wurde auf das Vereinigte Königreich ausgeweitet.

Korrekturen und Optimierungen
Benutzer können bevorzugte Farbschemata für Webseiten auswählen und Autoren erhalten mehr Möglichkeiten hinsichtlich der Farbschemata für Menüs. Der Fokusrahmen erscheint nun in solidem Blau statt als gestricheltes Rechteck. Dies macht es Menschen mit Sehschwäche leichter, ihn zu erkennen. Der Installer der Windows-Version ist SHA-256-signiert, für eine Installation unter Windows 7 wird daher das Update KB4474419 benötigt. Unter macOS 11 und höher werden Schriften nur noch einmal pro Fenster gerastert, was das Öffnen und Wechseln zwischen Tabs spürbar beschleunigen sollte. Eine fensterübergreifende Initialisierung der Schriftarten ist derzeit in Arbeit. Leistungsverbesserungen gibt es auch für tief verschachtelte Elemente des Typs display: grid. Aufgaben ohne Vertikale Synchronisation (VSYNC) erhalten mehr Zeit, wovon insbesondere Google Docs und Twitch profitieren sollen. Eine Unterstützung für die Profilierung mehrerer Java-Threads wurde ergänzt, beim einfachen Neuladen einer Webseite verzichtet der Firefox 100 auf die erneute Überprüfung aller Ressourcen und es wurden Geckoview-APIs hinzugefügt, um die Start- und Stoppzeit der Erfassung eines Profils zu steuern.

Das Version-100-Problem
Vor einigen Monaten wurde der Version-100-Schritt noch als großes Problem gehandelt. Inzwischen sind Google Chrome und Mozilla Firefox dreistellig, dennoch scheinen fast alle Webseiten sauber zu funktionieren oder zumindest nicht viel schlechter als sonst auch. Dass das Version-100-Problem dennoch nicht gänzlich vom Tisch ist, zeigt ein aktuelles Beispiel: Der Kunden-Login der Commerzbank.

Wir waren vor zwei Wochen auf den Fehler gestoßen und hatten diesen zusammen mit einem Techniker der Commerzbank untersucht. Im Anschluss hatten wir auch Mozilla kontaktiert und die Schaltung eines Workarounds empfohlen. Entsprechende Workarounds finden sich beim Aufruf von about:compat im Abschnitt Änderungen des User Agent. Passiert ist bisher leider nichts. Das war zumindest der Stand letzte Nacht. Seit heute wechselt das Kundenportal zwischen Technische Störung und Wartungsarbeiten im Online Banking und das ganz unabhängig vom verwendeten Browser. Um Probleme beim Kunden-Login der Commerzbank sowie auf anderen Webseiten zu beheben, kann man den User-Agent-String des Firefox 100 manuell ändern. Hierzu geben wir in der Adresszeile des Browsers about:config ein und legen einen neuen Wert namens general.useragent.override als String an. Als Zeichenkette hinterlegen wir:

Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:99.9) Gecko/20100101 Firefox/99.9

Die Änderung der Version von 100.0 auf 99.9 wirkt sofort und der Zugriff auf den Kunden-Login der Commerzbank ist wieder möglich (zumindest sofern die Seite selbst wieder funktioniert). Da die dortigen Sitzungen, selbst wenn diese einen Fehler werfen, für einige Minuten aktiv bleiben, muss man sich eventuell zweimal anmelden - einmal um die alte Sitzung zu beenden und das zweite Mal um die neue Sitzung zu öffnen.

Die Sicherheitskorrekturen
Der Sicherheitshinweis zum Firefox 100 umfasst neun Einträge, darunter sechs von hohem Gefahrenpotential, zwei mittelschwere und ein vergleichsweise harmloses Problem. Betrachten wir nun die hochgefährlichen Einträge: Existierende Pop-ups konnten für Täuschungsangriffe missbraucht werden, indem mit ihnen der Hinweis auf den Wechsel zum Vollbildmodus überdeckt wurde (CVE-2022-29914). Die Berechtigungsabfrage für Dokumente in tief verschachtelten Cross-Origin-Browsing-Kontexten ließ sich umgehen, da diesen mitunter die Berechtigungen vom Ursprung der obersten Ebene gewährt wurden (CVE-2022-29909). Über ein Leck im Browser-Verlauf war es möglich, CSS-Variablen abzugreifen (CVE-2022-29916). Weiterhin war der Schutz der Iframe-Sandbox vor Top-Level-Navigationen unzureichend, sofern dieser mit einer Richtlinie wie allow-top-navigation-by-user-activation gelockert wurde (CVE-2022-29911). Die beiden verbliebenen Einträge befassen sich mit Speicherfehlern, welche im Firefox 100 (CVE-2022-29918) bzw. im Firefox 100 und im Firefox ESR 91.9 (CVE-2022-29917) behoben wurden.

Download:

• Firefox 100.0
• Firefox ESR 91.9.0