Firefox 90.0.0 und 78.12.0 ESR verfügbar

Mozilla[English]Die Mozilla-Entwickler haben zum 13. Juli 2021 die Version 90.0.0 und 78.12.0 ESR des Firefox-Browsers freigegeben. Es handelt sich bei der Version 90.0.0 um einen neuen Entwicklungszweig des Browsers, und beim ESR um ein Sicherheitsupdate, welches Schwachstellen beseitigen, aber auch Fehler beheben soll.


Anzeige

Firefox 90.0.0

Laut den Release Notes bringt die Version 90.0.0 einige Neuerungen sowie Fehlerbehebungen und Sicherheitsfixes. Hier ein grober Überblick über die Neuerungen:

  • Unter Windows können Updates jetzt im Hintergrund angewendet werden, während Firefox nicht läuft.
  • Firefox für Windows bietet jetzt eine neue Seite about:third-party, um Kompatibilitätsprobleme zu identifizieren, die durch Anwendungen von Drittanbietern verursacht werden
  • Ausnahmen vom HTTPS-Only-Modus können in about:preferences#privacy verwaltet werden
  • Drucken in PDF erzeugt jetzt funktionierende Hyperlinks

Weiterhin gibt es die Version 2 der SmartBlock-Funktion von Firefox, die das Private Browsing weiter  verbessert. Facebook-Skripte von Drittanbietern werden blockiert, um zu verhindern, dass Sie getrackt werden. Die Scripte werden jetzt aber automatisch "just in time" geladen, wenn Sie sich auf einer Website für "Mit Facebook anmelden" entscheiden.

Zudem wurden einige Sicherheitslücken, die als hoch oder moderat eingestuft sind, in der neuen Version behoben.

Details lassen sich hier in den betreffenden Abschnitten nachlesen.

Firefox 78.12.0 esr

Es wurde auch ein Update des Firefox 78.12.0 esr mit einem Jahr Langzeit-Support mit den gleichen beseitigten Schwachstellen bereitgestellt. Der neue Firefox und die ESR-Variante  können von dieser Webseite für diverse Plattformen heruntergeladen werden (die Variante ist über die angezeigten Listenfelder zu wählen).


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Firefox, Sicherheit, Software, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

19 Antworten zu Firefox 90.0.0 und 78.12.0 ESR verfügbar

  1. Zocker sagt:

    Wann ist denn der nächste ESR-Sprung geplant? Mozilla hätte den ruhig noch vollziehen können, bevor der FTP-Support rausfällt.

  2. Bolko sagt:

    Firefox führt bei mir zu einem System -Freeze für mehrere Minuten nach dem ersten Logon, wenn unter Einstellungen, Datenschutz & Sicherheit der Haken bei
    "Aktuelle Gültigkeit von Zertifikaten durch Anfrage bei OCSP-Server bestätigen lassen"
    gesetzt ist.
    Entferne ich den Haken und boote neu, dann ist der Systemstart normal.
    Setze ich den Haken wieder und boote neu, dann habe ich wieder diesen mehrminütigen Systemfreeze, also reproduzierbar.

    Das passiert auch dann, wenn ich den EMET-Dienst deaktiviert habe, daran liegt es also nicht.

    Im Profilordner habe ich auch schon die cert8.db und cert9.db umbenannt, damit Firefox die sauber neu anlegen kann.
    ( about:support , Profilordner, Ordner öffnen )

    Auf welche Weise werden denn diese Zertifikate abgeglichen so kurz nach dem Logon, wenn der Firefox noch gar nicht gestartet ist?
    Welcher Dienst oder welcher Task in der Ausgabenplanung ist dafür zuständig?
    Was genau bremst da und warum reagiert das übrige System dann nicht mehr?
    Wie kann das sein, dass ich dieses Problem habe, andere aber nicht?

    • Gerold sagt:

      Hab den Firefox 90 bereits am Montag installiert, der Haken ist auch gesetzt, keinerlei Probleme beim Booten.

      • Bolko sagt:

        Ich habe das Problem nicht erst mit v90, sondern schon Monate vorher.
        Irgend etwas ist hier bei mir anders.

        Kann das eventuell an einer sehr großen Hosts-Datei liegen?`

        Trotzdem würde ich wirklich gerne wissen, welcher Dienst oder Task diesen Zertifikat-Abgleich durchführt.

  3. Bolko sagt:

    Ich habe jetzt mal die alten Profile komplett gelöscht und ein neues Profil angelegt (mittels Konsole mit Admin-Rechten und bei geschlossenem Firefox den Befehl eintippen: "firefox -P" [großes P]).
    Neustart erzeugt jetzt keinen Freeze mehr bei angehaktem Zertifkat-Abgleich.
    Wer weiß wie lange das so bleibt.

    Vorher hatte ich über about:profiles einen neuen zusätzlichen Standardbenutzer angelegt, aber das brachte keinen Erfolg.

  4. Martin sagt:

    "Ausnahmen vom HTTPS-Only-Modus können in about:preferences#privacy verwaltet werden."

    Ich frage mich gerade, wozu es das Addon "HTTPS Everywhere" noch gibt. Für ältere Firefox-Versionen, in denen es den HTTPS-Only-Modus noch nicht gibt? Ich hab's unnötigerweise immer noch installiert.

    • Martin sagt:

      Hm, HTTPS Everywhere hat doch einen Vorteil: Wenn Seiten tatsächlich kein HTTPS können (hatte ich gerade), dann bekommt mit dem Addon automatisch die HTTP-Version. Bei der nativen Funktion von FF muss man das erst bestätigen. Ich installiere mir das Addon wieder und schalte die native Funktion im FF wieder aus.

  5. Frank M. sagt:

    Hallo zusammen,

    in about:config gibt es die Option "network.ftp.enabled" zwar noch, und diese steht auch noch auf dem angepassten Wert "true", jedoch werden normale FTP-Links nun dennoch geblockt.
    Verstehe ich das jetzt richtig, dass das ab dem FF90 bzw. 78.x.ESR mit Bordmitteln grundsätzlich nicht mehr möglich ist?
    Müsste ich stattdessen jetzt z.B. die vorletzte 68.x.ESR-Version installieren, um das Problem zu umgehen?

    • Matti sagt:

      Nein, Firefox ESR 78 basiert auf dem Firefox 78 Zweig, nicht Firefox 90.
      Innerhalb eines ESR Zweig werden keine Features verändert, wie beim normalen Firefox.
      In Firefox ESR 78.x funktioniert FTP Problemlos.
      Sonst würde Mozilla ja gegen seine eigene Intention des ESR verstoßen.

      Da Firefox 90 aber ein neuer Entwicklungszweig ist und der ESR nun bei .12 angekommen ist, wird demnächst auch ein neuer ESR 90 kommen.
      Siehe auch die Mozilla Roadmap: https://support.mozilla.org/en-US/kb/firefox-esr-release-cycle

  6. mvo sagt:

    "Unter Windows können Updates jetzt im Hintergrund angewendet werden, während Firefox nicht läuft."
    Darauf habe ich lange gewartet. Wir haben etliche PC und auch vereinzelt VMs, die teilweise über Wochen nicht benutzt werden oder die zwar täglich verwendet werden, der Firefox aber nur ganz selten gestartet wird. Die hatten bislang erst dann einen aktuellen FF, nachdem dieser zum zweiten Mal (nach dem hoffentlich erfolgten automatischen Update nach dem ersten Start) gestartet wurde.
    Ich hoffe dass das ordentlich funktioniert.

  7. Bolko sagt:

    Die Zertifikat-Funktion funktioniert bei mir schon wieder nicht ohne Freeze, trotz neuem Profil.

    Im Privacy-Handbuch steht dazu, dass man diese Funktion besser abschaltet:
    "Die Validierung via OCSP-Server ist veraltet und leicht auszutricksen"
    Die Anfragen bei den OCSP-Servern können zum Tracking benutzt werden.
    privacy-handbuch dot de slash handbuch_21r.htm

    Also die Funktion abschalten:
    "Aktuelle Gültigkeit von Zertifikaten durch Anfrage bei OCSP-Server bestätigen lassen"

    Statt dessen die Funktion "OCSP.Stapling" benutzen:
    "OCSP.Stapling ist ein modernes Verfahren, dass die oben genannten Probleme vermeidet."
    about:config
    security.OCSP.enabled = 0 (identisch mit Haken weg bei Zertifkat…)
    security.ssl.enable_ocsp_stapling = true (ist schon Standard)
    security.ssl.enable_ocsp_must_staple = true (ist schon Standard)
    (Die Einstellungen für OCSP.Stapling sind unabhängig von security.OCSP.enabled.)

    Warum also baut Firefox so eine potentiell unsichere und langsame freezende Funktion ein und macht sie auch noch zum Standard (setzt den Haken bei "Aktuelle Gültigkeit von Zertifikaten durch Anfrage bei OCSP-Server bestätigen lassen")?
    Pro Zertifikat-Anfrage ist ein Timeout von 10 Sekunden eingebaut.
    Bei vielen Zertifikaten und langsamen OCSP-Servern dauert das zu lange.
    Also einfach diesen Haken entfernen und der Freeze ist weg, diese Tracking-Möglichkeit ist weg und die potentielle Sicherheitslücke ist ebenfalls weg.

    Warum hält sich Firefox nicht mal an das Privacy-Handbuch?
    Zum Glück hatte ich diesen Freeze, sonst hätte ich mich nie auf Fehlersuche begeben und hätte auf diese falsch aktivierte Zertifikat-Funktion nie geachtet.

    Schaltet diese Funktion ab!

    • Andreas K. sagt:

      Danke für den Tipp. Die beiden Funktionen security.ssl.* sind schon auf true bei mir (gerade upgegradet).

    • Martin sagt:

      Sehr interessant, danke!

      "Die Einstellungen für OCSP.Stapling sind unabhängig von security.OCSP.enabled."

      Deshalb kann man das tatsächlich machen:
      "security.OCSP.enabled = 0"

      Vorausgesetzt, das Privacy-Handbuch ist da auch wirklich aktuell, was die Unabhängigkeit der Settings anbelangt.

Schreibe einen Kommentar zu Bolko Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.