Mozilla Firefox (immer aktuelle Infos)

    • Open Source

    • AbGedreht
    • 24048 Aufrufe 126 Antworten

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Neu

      Nervige Bugs endlich beseitigt: Firefox-Update repariert die Download-Funktion

      Bei Mozilla stellt man zwar gerade die Weichen für Firefox 70, doch es gibt auch noch Nachholbedarf bei Firefox 69. Das Update auf Firefox 69.0.3 beseitigt nervige Download-Bugs, die unter Windows und beim Abrufen von Yahoo Mails auftreten.

      Firefox 69 steht schon länger zum Download bereit, doch so ganz glatt läuft diese Browser-Version noch nicht. Vor allem Windows-Nutzer sind genervt, denn es gibt einen fiesen Download-Bug, der unter bestimmten Umständen auftritt. Das Update auf Firefox 69.0.3 löst dieses Problem und beseitigt laut Release-Notes nur noch ein weiteres Ärgernis für Nutzer von Yahoo Mail.

      Firefox-Downloads repariert
      Downloads sind eine Standardfunktion im Browser. Umso nerviger ist es, wenn die Downloads dann nicht klappen. Das war bei Firefox unter Windows 10 der Fall und zwar fand sich dort unter bestimmten Voraussetzungen nur immer eine leere Datei im Download-Ordner. Recht schnell konnte das Problem aber eingegrenzt werden, denn betroffen waren nur Systeme, die Kinderschutz-Software nutzten. Wird der Jugendschutz auf betroffenen Systemen deaktiviert, funktionieren auch die Downloads wieder. Der neue Firefox 69.0.3 biegt das Zusammenspiel jetzt wieder gerade.

      Patch für Nutzer von Yahoo Mail
      Wer seine Mails über Yahoo abruft, musste außerdem mit einem Problem im Firefox kämpfen. Beim Klick auf eine E-Mail wurde man jedes Mal aufgefordert, Dateien herunterzuladen. Hier kommen sich Tracking-Schutz und Werbung in die Quere und auch dieses Problem behebt das Firefox-Update.

      Quelle: Bugs beseitigt: Firefox-Update repariert Download-Funktion unter Windows - CHIP
    • Neu

      Mozilla schützt Firefox vor Code-Injection-Angriffen

      Die Entwickler entfernen unter anderem gefährliche Teile der Codebasis. Dazu gehört die eval()-Funktion, die Mozilla auch für Websites als Risiko einstuft. Eine neue Sicherheitsrichtlinie beschränkt außerdem den Einsatz von Inline-JavaScript-Code.

      Mozilla hat verschiedene Maßnahmen ergriffen, um seinen Browser Firefox besser vor sogenannten Code-Injection-Angriffen zu schützen. Dafür wurden unter anderem „möglicherweise gefährliche“ Bestandteile der Codebasis des Browsers entfernt. Als Beispiele nennen die Entwickler Inline-Skripte und bestimmte Funktionen wie „eval()“.

      Der Verzicht auf Inline-Skripte soll vor allem das „About“-Protokoll des Browsers sicherer machen. Es ist die Grundlage der „about:pages“-Funktion. Diese Seiten erlauben es Nutzern, Netzwerkinformationen anzuzeigen, die Konfiguration des Browsers zu prüfen oder installierte Plug-ins aufzulisten.

      Mozilla befürchtete, Angreifer könnten vor allem die „about:config“-Seite für Code-Injection-Angriffe nutzen. Sie macht eine Programmierschnittstelle zugänglich, die auf Browsereinstellungen Zugriff hat, mit denen sich Firefox an die Bedürfnisse eines Nutzers anpassen lässt.

      Geschrieben sind die About-Seiten in HTML und JavaScript. Sie basieren also auf dem Sicherheitsmodell von Websites, die ebenfalls anfällig für Code-Injection-Angriffe sind. Theoretisch wären unbefugte also in der Lage, einer About-Seite Code unterzuschieben, um die Browsereinstellungen zu ändern.

      Dies wird laut Christoph Kerschbaumer, Content Security Lead bei Mozilla, nun dadurch verhindert, dass alle Inline Event Handler neu geschrieben wurden. Außerdem wurden jeglicher Inline-JavaScript-Code in gepackte Dateien verschoben, und zwar für alle 45 About-Seiten. Darüber hinaus soll nun eine strenge Inhaltssicherheitsrichtlinie sicherstellen, dass eingeschleuster JavaScript-Code nicht ausgeführt wird.

      Sie beschränkt die Ausführung auf Code, der aus den gepackten Dateien geladen wird. „Keine Inline-Skript in einer der About-Seiten zu erlauben, begrenzt die Angriffsfläche für die Ausführung von beliebigem Code und bietet somit eine starke erste Verteidigungslinie gegen Code-Injection-Angriffe“, erklärte Kerschbaumer.

      Die eval()-Funktion, die komplett entfernt wurde, beschreibt Kerschbaumer als „mächtiges und zugleich gefährliches Werkzeug“. Es biete eine „erhebliche Angriffsfläche für Code-Injection-Attacken“. Von der Nutzung der Funktion rate Mozilla, auch für Websites, generell ab.

      Quelle: Mozilla schützt Firefox vor Code-Injection-Angriffen | ZDNet.de