Mozilla veröffentlicht Sicherheits-Update Firefox 117.0.1

Mozilla hat Firefox 117.0.1 veröffentlicht. Neben anderen Korrekturen behebt Firefox 117.0.1 auch eine schwerwiegende Sicherheitslücke, welche bereits aktiv ausgenutzt wird.

Download Mozilla Firefox 117.0.1

Mit dem Update auf Firefox 117.0.1 behebt Mozilla eine Sicherheitslücke im Code für das Dekodieren von WebP-Bildern, welche bereits aktiv ausgenutzt wird. Es handelt sich dabei um die gleiche Sicherheitslücke, von welcher auch Google Chrome betroffen war, für den heute ebenfalls ein Update veröffentlicht worden ist. Auch andere auf Chromium basierende Browser dürften betroffen sein und entweder ein Update erhalten haben oder zeitnah erhalten. Sowohl der Zeitpunkt als auch die Beschreibung der Schwachstelle sowie Apple und Citizen Lab als erwähnte Reporter der Schwachstelle legen einen Zusammenhang zum sogenannten Blastpass-Exploit nahe: Apple veröffentlichte vor wenigen Tagen Sicherheits-Updates für macOS, iOS und iPadOS. Die damit behobene Schwachstelle wurde ausgenutzt, um über ein manipuliertes Bild die sogenannte Pegasus-Spyware einzuschleusen, ohne dass dazu eine weitere Interaktion durch den Angreifer notwendig gewesen ist.

Eine Änderung in Firefox 117.0 verursachte, dass Erweiterungen, welche länger andauernde Aufgaben im Hintergrund ausführten, nach 30 Sekunden stoppten. Dieses Problem wurde behoben. Auch meine Erweiterung Bookmarks Organizer wurde betroffen. Hierfür veröffentlichte ich allerdings bereits vor ein paar Tagen ein Update, welches das Problem umging. Aber auch andere Erweiterungen können potenziell betroffen gewesen sein.

Ein Fehler wurde behoben, der verursachte, dass Links, welche in einer anderen Anwendung angeklickt worden sind, einen bis dahin geschlossenen Firefox auf macOS nicht öffnen ließen.

Die Option, alle kürzlich geschlossenen Tabs mit einem Mal zu öffnen, hatte nicht mehr alle Tabs geöffnet.

Das Problem wurde behoben, dass das Lesezeichen-Menü manchmal teilweise sichtbar geblieben war, nachdem Firefox minimiert wurde.

Ein Problem mit dem Inspektor-Entwicklerwerkzeug beim Untersuchen von SVG-Elementen wurde behoben sowie ein Fehler in Zusammenhang mit Sourcemaps im Debugger.

Außerdem wurden drei Webkompatibilitätsprobleme behoben. Zum einen konnte URL.protocol seit Firefox 117.0 nicht mehr geändert werden. Diese war eine beabsichtigte Änderung gemäß Spezifikation, welche mit Firefox 117.0.1 temporär zurückgenommen worden ist. Sobald Google die gleiche Änderung in Chrome ausgeliefert hat (was nach aktuellem Plan am 10. Oktober sein wird) wird Firefox die Änderung final umsetzen. Des Weiteren wurden auf manchen Websites falsche Zeitzonen erkannt und Websites, welche WebAssembly-Ausnahmebehandlungen und Audio-Worklets verwenden, funktionierten nicht mehr.

Schließlich wurde noch in den Firefox-Einstellungen eine zu groß angezeigte Grafik verkleinert.