Firefox 79.0.0 und 78.1.0 esr verfügbar

[English]Die Mozilla-Entwickler haben zum 29. Juli 2020 die Version 79.0., des Firefox-Browsers (sowie die 78.1.0 esr) freigegeben. Es handelt sich um Wartungsupdates, die sowohl Schwachstellen sowie Bugs beheben.

Firefox 79.0.0

In den Release Notes heißt es zur Version 79.0.0, dass diese Version folgende Bugs beheben soll.

• We've rolled out WebRender to more Windows users with Intel and AMD GPUs, bringing improved graphics performance to an even larger audience.
• Firefox users in Germany will now see more Pocket recommendations in their new tab featuring some of the best stories on the web. If you don't see them, you can turn on Pocket articles in your new tab by following these steps.

Der WebRenderer kommt also auf weitere Systeme und deutsche Nutzer bekommen mehr Pocket-Empfehlungen. Zudem haben die Entwickler eine Reihe an Sicherheitsfixes vorgenommen. Hier die mit Hoch bewerteten Schwachstellen, die geschlossen wurden.

• CVE-2020-15652: Potential leak of redirect targets when loading scripts in a worker: Durch Beobachtung des Stack-Trace auf JavaScript-Fehler in Web-Workern war es möglich, das Ergebnis einer ursprungsübergreifenden Umleitung abzurufen. Dies galt nur für Inhalte, die als Skript geparst werden können.
• CVE-2020-6514: WebRTC data channel leaks internal address to peer: WebRTC verwendete die Speicheradresse einer Klasseninstanz als Verbindungskennung. Leider wird dieser Wert oft an den Peer übertragen, wodurch ASLR umgangen werden kann.
• CVE-2020-15655: Extension APIs could be used to bypass Same-Origin Policy: Der Mozilla-Entwickler Rob Wu entdeckte, dass eine umgeleitete HTTP-Anfrage, die über eine Web-Erweiterung beobachtet oder modifiziert wird, bestehende CORS-Prüfungen umgehen könnte. Dass kann zu einer potenziellen Offenlegung von Informationen aus anderen Herkunftsländern führen.

Die nachfolgenden Schwachstellen haben den Bedrohungsgrad Mittel erhalten und wurden ebenfalls beseitigt.

• CVE-2020-15653: Bypassing iframe sandbox when allowing popups: Mozilla-Entwicklerin Anne van Kesteren entdeckte, dass iframe sandbox mit dem allow-popups-Flags bei der Verwendung von noopener-Links umgangen werden kann. Dies könnte zu Sicherheitsproblemen für Websites geführt haben, die sich auf Sandbox-Konfigurationen verlassen, die Popups zulassen und beliebige Inhalte hosten.
• CVE-2020-6463: Use-after-free in ANGLE gl::Texture::onUnbindAsSamplerTexture:  Manipulierte Mediendateien könnten zu einer Race-Condition in den Textur-Caches führen, was zu einer Beschädigung des Speichers und einem potenziell ausnutzbaren Absturz führen könnte.
• CVE-2020-15656: Type confusion for special arguments in IonMonkey: JIT-Optimierungen mit dem Javascript-Argumente-Objekt könnten spätere Optimierungen 'verwirren'. Dieses Risiko wurde bereits durch verschiedene Vorkehrungen im Code gemildert, so dass dieser Fehler nur als mäßig schwerwiegend eingestuft wurde.
• CVE-2020-15658: Overriding file type when saving to disk: Der Code für das Herunterladen von Dateien berücksichtigt Sonderzeichen nicht richtig. Das führte dazu, dass ein Angreifer die Datei, die an einer früheren Position endete, abschneiden konnte. Das führte dazu, dass ein anderer Dateityp heruntergeladen wurde als im Dialogfeld angezeigt.
• CVE-2020-15657: DLL hijacking due to incorrect loading path: Firefox konnte unter Windows dazu gebracht werden, von Angreifern bereitgestellte DLL-Dateien aus dem Installationsverzeichnis zu laden. Dazu musste ein Angreifer Dateien in das Installationsverzeichnis schreiben können (bei Firefox portable kein Problem). Zu meiner Schande muss ich gestehen, dass ich den Firefox nie einem solchen Test unterzogen habe, vielleicht wäre es aufgefallen.
• CVE-2020-15654: Custom cursor can overlay user interface:  In einer Endlosschleife könnte eine Website, die einen benutzerdefinierten Cursor mit CSS angibt, so aussehen, als ob der Benutzer mit der Benutzeroberfläche interagiert, obwohl dies nicht der Fall ist. Dies könnte zu einem als kaputt empfundenen Zustand führen, insbesondere wenn Interaktionen mit bestehenden Browser-Dialogen und Warnungen nicht funktionieren.
• CVE-2020-15659: Memory safety bugs fixed in Firefox 79: Die Mozilla-Entwickler und Community-Mitglieder meldeten Speichersicherheitslücken in Firefox 78. Einige dieser Fehler zeigten Anzeichen von Memory Corruption, und wir gehen davon aus, dass einige davon mit genügend Aufwand zur Ausführung von beliebigem Code hätten ausgenutzt werden können.

Diese Schwachstellen sind mit dem Update auf den Firefox 79 geschlossen. In den Release Notes wurden folgende Fixes für Probleme genannt:

• Mehrere Abstürze bei der Verwendung eines Screenreaders wurden behoben, einschließlich eines häufig auftretenden Absturzes bei der Verwendung des JAWS Screenreaders.
• Die Firefox Developer Tools wurden erheblich verbessert, so dass Benutzer von Bildschirmleseprogrammen von einigen der Tools profitieren können, auf die zuvor nicht zugegriffen werden konnte.
• SVG-Titel- und Desk-Elemente (Beschriftungen und Beschreibungen) werden nun korrekt in Hilfsprodukten wie Screenreadern angezeigt.

Für den Unternehmenseinsatz wurden eine Reihe von Fehlerbehebungen vorgenommen. Zudem wurden neuen Richtlinien in der neuesten Version von Firefox implementiert. Weitere Details können Sie in den Versionshinweisen zu Firefox für Enterprise 79 nachlesen.

Firefox 78.1.0 esr

Es wurde auch ein Update des Firefox 78.1.0 esr mit einem Jahr Langzeit-Support mit den gleichen Fehlerbehebungen und beseitigten Schwachstellen angeboten. Der Firefox kann von dieser Webseite heruntergeladen werden. Die Updates sind auch für direkte Downloads verfügbar. Die Kollegen von deskmodder.de haben hier die FTP-Download-Adressen angegeben.

Im gleichen Aufwasch wurde das Tor-Bundle auf 9.5.3 aktualisiert – Details finden sich hier.