Firefox 72.0.1 und 68.4.1esr sowie Tor-Browser 9.0.3 verfügbar

Mozilla[English]Die Mozilla-Entwickler hatten gerade (7. Januar 2020) die Version 72 (und 68.4.0 ESR) des Firefox-Browsers freigegeben, da mussten sie schon nachbessern. Seit dem 8. Januar 2020 sind Firefox 72.0.1 und 68.4.1esr verfügbar. Zudem gibt es den Tor-Browser 9.0.3. Ergänzung: Das Sicherheitsupdate musste schnell freigegeben werden, da es wohl bereits aktiv ausgenutzt wurde, um sensitive Informationen im Speicher abzugreifen (siehe). Also lasst den Browser updaten. Ergänzung 2: Auch der Tor-Browser wurde auf 9.0.4 aktualisiert.


Anzeige

Sicherheitsupdate für den Firefox

Ich hatte bereits im Artikel Firefox 72 und 68.4.0esr verfügbar darauf verwiesen, dass die Browser ein Sicherheitsupdate bekommen. Damals wurde das Update aber noch nicht verteilt und es gab keinen Change-Log. Inzwischen wird mir das automatische Update im Firefox 72 angeboten. In den Release-Notes des Firefox 72.0.1 und 68.4.1esr werden folgende Fixes für Sicherheitslücken aufgeführt:

72.0.1 and Firefox ESR 68.4.1
Announced: January 8, 2020
Impact: critical
Products: Firefox, Firefox ESR
Fixed in: Firefox 72.0.1, Firefox ESR 68.4.1

#CVE-2019-17026: IonMonkey type confusion with StoreElementHole and FallibleStoreElement
Impact critical
Description: Incorrect alias information in IonMonkey JIT compiler for setting array elements could lead to a type confusion. We are aware of targeted attacks in the wild abusing this flaw. (Bug 1607443)

Tor-Browser 9.0.3

Ralf Lindemann weist in diesem Kommentar darauf hin, dass der Tor-Browser auf die Version 9.0.3 aktualisiert wurde. Auch hier wurde beim meinem Test im Rahmen einer Update-Suche die neue Version über Auto-Update angeboten.

Der Tor-Browser 9.0.3 wurde aber bereits am 7. Januar 2020 freigegeben und enthält noch nicht den letzten Fix der ESR 68.4.1, sondern basiert noch auf dem Firefox 68.4.0 – der aber die oben aufgeführte Sicherheitslücke aufweist. Die Release-Notes für Tor 9.0.3 listen folgende Änderungen auf:

* All Platforms
* Update Firefox to 68.4.0esr
* Bump NoScript to 11.0.11
* Translations update
* Update OpenPGP keyring
* Bug 32606: Set up default bridge at Georgetown University
* Bug 32659: Remove IPv6 address of default bridge
* Bug 32547: Add new default bridge at UMN
* Bug 31855: Remove End of Year Fundraising Campaign from about:tor
* Windows + OS X + Linux
* Bump Tor to 0.4.2.5
* Update Tor Launcher to 0.2.20.5
* Bug 32636: Clean up locales shipped with Tor Launcher
* Android
* Bug 32405: Crash immediately after bootstrap on Android
* Build System
* Linux
* Bug 32676: Create a tarball with all Linux x86_64 language packs

Ergänzung 2: Ich habe gerade festgestellt, dass auch der Tor-Browser am 9. Januar auf 9.0.4 aktualisiert wurde. Einzige Änderung: Der Firefox wurde auf Version 68.4.1esr aktualisiert, die Schwachstelle ist also beseitigt.


Anzeige


Dieser Beitrag wurde unter Firefox, Sicherheit, Software, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Firefox 72.0.1 und 68.4.1esr sowie Tor-Browser 9.0.3 verfügbar


  1. Anzeige
  2. Al CiD sagt:

    Super, prompte Reaktion auf ein Problem,
    da braucht man nicht auf den nächsten Monat zu warten für ein Sicherheitsupdate…
    Sehr schön

    • arno nym sagt:

      was ist daran super oder sehr schön, wenn day-0 bzw. day-1 patches den qs-prozess ersetzen? sind wir inzwischen so abgestumpft und konditioniert, dass sich die software und spiele industrie all das ohne widerworte zu erwarten leisten kann?

      • Günter Born sagt:

        Du drückst es aus, was mir die letzten Wochen durch den Kopf geht. Aber die mediale Berichterstattung von der CES 2020, u.a. mit einem Kühlschrank, der dem Nutzer per App verrät, was er sich mit den Vorräten noch kochen kann, was teilweise bejubelt wurde, ließ mich spontan an Einstein und seinem Spruch von der Unendlichkeit zweier Dinge denken. Denn in spätestens 2 Jahren kriegt das Zeugs keine Updates mehr oder der dahinter stehende Dienst wird eingestellt und es bleibt Elektroschrott zurück, der im aktuellen Fall noch kühlen kann.

        Oder kurz ausgedrückt: Schaue ich mir die diversen (US) Blogs und Webseiten an, wird das Patchen nicht nur ohne Widerworte angenommen, sondern häufig genug in Artikeln auch noch gefeiert. Schlagzeile letztens auf einer US-Webseite ‘Office kommt mit einem Update – das Icon xyz ist jetzt anders gefärbt’. Führt dazu, dass ich auf bestimmten Webseiten, die ich früher gerne besucht habe, kaum noch was Interessantes finde.

        Und wenn ich dann hier der Bagage mal kritisch zwischen die Hörner haue, kommen mit Sicherheit einige beleidigte Leberwürste, die mir Bashing vorwerfen. Ich kann mit leben, aber der Spruch ‘Herr, wirf Hirn vom Himmel’ geht mir in letzter Zeit schon häufiger durch den Kopf (wobei ich mir als Blogger sicherlich bei dem einen oder anderen Artikel diesbezüglich vielleicht auch an die Nase fassen müsste – eigentlich jeder Windows 10 Insider Preview-Beitrag segelt ja auch in der Kategorie).

        Aber hey, gerade habe ich gelernt, dass das Berliner Affenhaus garantiert brandsicher sei – kann uns also nix mehr passieren ;-).

        • krzemien sagt:

          Very sad state of affairs indeed…

          As electrician who came to our home recently said: ‘Quality of everything and everywhere went downhill in the last 10-15 years – and nobody cares anymore, or even pretend that they once did’.

      • Al CiD sagt:

        Das war nicht ganz ernst gemeint… das sich diese Angewohnheit durchgesetzt hat ist mir auch ein Dorn im Auge.

        Aber die Alternative wäre schlimmer… mindestens auf den nächsten Updatezyklus warten, wie es zB Microsoft immer wieder praktiziert

        MS macht wohl weder Qualitätskontrolle noch wird immer direkt auf Sicherheitsfehler reagiert…

        Also, besser wie nix

        • Al CiD sagt:

          …und genau so etwas meinte ich: (17.01.2020)
          Schwerwiegende Lücke im IE wird wohl erst zum nächsten Patchday geflickt… also noch knapp einen Monat hin.

          “Microsoft ist eine schwerwiegende Lücke im Internet Explorer bekannt, die bereits aktiv ausgenutzt wird. Über diese Schwachstelle könnten Angreifer in der Lage sein, Code auf dem Rechner des Opfers auszuführen und diesen dann zu übernehmen. Laut Bericht ist der Internet Explorer in Version 9, 10 und 11 betroffen. Microsoft hat bereits kommuniziert, dass man einen Patch zur Verfügung stellen wolle, wohl aber erst zum nächsten Patchday….”

          Quelle: https://stadt-bremerhaven.de/internet-explorer-aktiv-ausgenutzte-luecke-wird-bald-geflickt/

  3. Gerold sagt:

    Tor-Browser wurde auf 9.0.4 aktualisiert

  4. Anzeige

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.