Firefox
15 Reaktionen

Firefox: OpenH264 Plugin 1.3 behebt Sicherheitslücken

Geschätzte Lesedauer:

Seit Firefox 33 ist Ciscos OpenH264-Codec für WebRTC-Kommunikation in Mozillas Browser integriert, genauer gesagt in Form eines Gecko Media Plugins, welches nach dem ersten Start automatisch heruntergeladen wird. Firefox-Nutzer haben nun Version 1.3 per Plugin-Update erhalten. Die neue Version behebt mehrere Sicherheitslücken.

Cisco und Mozilla stellen das OpenH264-Plugin in Version 1.3 bereit. Dieses wird automatisch an Nutzer von Firefox 34 und Firefox 35 per Plugin-Update verteilt – vorausgesetzt, die Updates wurden nicht deaktiviert. Die neue Version behebt mehrere Sicherheitslücken, das Update wird also dringend empfohlen. Wer sichergehen möchte, überprüft im Add-on Manager im Reiter Plugins, ob Version 1.3 installiert ist.

Aus Lizenzgründen kann der H.264-Codec nicht direkt mit Firefox ausgeliefert werden und wird nach dem ersten Start von Firefox automatisch heruntergeladen. Hier zeigt sich ein weiterer großer Vorteil dieser Lösung: Sicherheitslücken im Codec können behoben werden, ohne ein Firefox-Update außer der Reihe veröffentlichen zu müssen oder die Behebung bis zum nächsten Firefox-Update zurückzuhalten.

Weitere Informationen
Mozilla Foundation Security Advisory 2015-10
Cisco Security Activity Bulletin

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, mozilla.de, firefoxosdevices.org sowie sozone.de.

15 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. Pascal Fischer
    schrieb am :

    Wieso kann der Codec eigentlich nur für WebRTC verwendet werden und nicht für alle Videos? Dann würden Websites die auf HTML5-Videos in dem Format setzen auch in Firefox funktionieren.

  2. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Die H.264-Wiedergabe funktioniert doch eh ohne Probleme in Firefox, lediglich Nutzer von Windows XP haben Pech, aber die haben ja auch noch viel größere Probleme. Oder auf welcher Webseite hast du Probleme?

  3. Christian T.
    schrieb am :

    Was ist eigentlich mit der Lücke im WebRTC, die bei einem Zugang über einen VPN die eigene IP verät.
    Ich weiß man kann im about:config ein schalter ändern dann ist das behoben

  4. schrieb am :

    Danke für die Info, wusste bisher nicht das es da ein Plugin gibt.
    In dem Plugin fehlt leider die sicherheitstechnisch sehr sinnvolle Einstellung „Nachfragen, ob aktiviert werden soll“. 🙁

  5. Pascal Fischer
    schrieb am :

    Also bei Tumblr kann ich mit Firefox keine Videos sehen, die H.264-kodiert sind. Und bei anderen Webseiten wird dann automatisch Flash genutzt. Wäre aber toll, wenn ich ganz auf Flash verzichten könnte. Und wie gesagt: auf Tumblr sehe ich gar nichts bei Videos, da die nur noch H.264 anbieten.

  6. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    @Christian T.:

    Was ist eigentlich mit der Lücke im WebRTC, die bei einem Zugang über einen VPN die eigene IP verät.
    Ich weiß man kann im about:config ein schalter ändern dann ist das behoben

    Von Beheben kann man meiner Meinung nach kaum sprechen, wenn man WebRTC deaktiviert, beziehungsweise den PeerConnection-Part von WebRTC, denn das funktioniert dann ja überhaupt nicht mehr, was schlecht ist, wenn man davon Gebrauch machen will. 😉 So wie ich das gelesen habe, befolgen Firefox und Chrome ganz einfach die Spezifikation.

    Relevanter Bug:
    https://bugzilla.mozilla.org/show_bug.cgi?id=959893

    Wie man sieht ist das Thema alles andere als neu.

  7. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    @Karsten Meier:

    Danke für die Info, wusste bisher nicht das es da ein Plugin gibt.
    In dem Plugin fehlt leider die sicherheitstechnisch sehr sinnvolle Einstellung “Nachfragen, ob aktiviert werden soll”. 🙁

    Diese Einstellung existiert nicht, weil sie hier eben überhaupt nicht sinnvoll wäre. 😉 Das OpenH264 wird nicht für Web-Content genutzt, sondern ausschließlich für WebRTC, für WebRTC gibt es eine ganz eigene Erlaubnis-Anfrage.

  8. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    @Pascal Fischer:

    Also bei Tumblr kann ich mit Firefox keine Videos sehen, die H.264-kodiert sind. Und bei anderen Webseiten wird dann automatisch Flash genutzt. Wäre aber toll, wenn ich ganz auf Flash verzichten könnte. Und wie gesagt: auf Tumblr sehe ich gar nichts bei Videos, da die nur noch H.264 anbieten.

    Wenn bei dir die H.264-Wiedergabe nicht funktioniert, dann stimmt vermutlich mit deinem System was nicht, denn Firefox beherrscht die H.264-Wiedergabe. Dazu bedient sich Firefox an dem, was das Betriebssystem bereitstellt. Im Falle von Linux muss dafür beispielsweise Gstreamer vorhanden sein.

    Wenn eine Webseite Flash und HTML5 anbietet, dann liegt es an der Webseite zu entscheiden, was bevorzugt ausgeliefert wird.

    Gibt es einen Beispiellink, den ich prüfen kann?

  9. user0815
    schrieb am :

    Salut,

    der Verzicht auf den Flashplayer wurde einem ja in letzter Zeit nahegelegt. youtube hat auf html umgestellt. Leider stürzt ff bei youtube in HD (720p) nach wenigen Sekunden immer ab. Ist die Problem bekannt? Und hilft H.264 da irgendwie weiter?

    Entschuldigt mein Deutsch – ich lerne die Sprache noch.

    Grüße

  10. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Hallo,

    für Firefox-Nutzer hat YouTube noch nicht standardmäßig auf HTML5 umgestellt. Das OpenH264-Plugin, um welches es hier geht, hat damit nichts zu tun, das wird grundsätzlich nicht für die Wiedergabe auf Videoseiten verwendet, sondern nur für WebRTC-Kommunikation. Was die Abstürze betrifft, unter about:crashes findet man Absturzberichte. Du könntest hier ein paar Berichte verlinken. Möglicherweise kann man daraus etwas zur Ursache herauslesen.

  11. user0815
    schrieb am :

    Salut,

    danke für die schnelle Antwort. Absturzberichte sind bei mir nicht aktiv…; die Seite ist leer. Also abwarten und hoffen auf Besserung in ff36.

    Grüße

  12. Vince
    schrieb am :

    Hallo,
    vielleicht können ja die Open Source-Addons „No Flash“ (https://addons.mozilla.org/de/firefox/addon/no-flash/) und/oder „HTML5 Video Everywhere!“ (https://addons.mozilla.org/de/firefox/addon/html5-video-everywhere/) helfen.

  13. user0815
    schrieb am :

    Salut Vince,

    danke für die Tipps. Das werd ich probieren.

    Grüße

  14. user0815
    schrieb am :

    Salut,

    die Addons helfen leider nicht. Problem ist immer n da. Habe jetzt auch mal ein Absturzbericht.

    https://crash-stats.mozilla.com/report/index/38624b08-b4b1-4bda-b756-89f712150212

    Vielleicht ist da was erkennbar.

    Grüße

  15. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Dem Absturzbericht nach hat der Absturz in jedem Fall mit der Videowiedergabe zu tun. Leider ist der Bericht mit keinem Bugreport verknüpft, so dass ich nicht weiß, ob das Problem bereits behoben ist. Allerdings tut Mozilla sehr viel in dem Bereich, so dass man vielleicht mal testen könnte, ob die Probleme auch in der aktuellen Betaversion von Firefox auftauchen und falls man noch weiter gehen möchte, in der aktuellen Developer Edition oder gar Nightly Version.

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.

  1. Nach Absenden des Kommentar-Formulars erfolgt eine Verarbeitung der von Ihnen eingegebenen personenbezogenen Daten durch den datenschutzrechtlich Verantwortlichen zum Zweck der Bearbeitung Ihrer Anfrage auf Grundlage Ihrer durch das Absenden des Formulars erteilten Einwilligung.
    Weitere Informationen