Hoax-Info Service | Weblog | Archiv

23.09.15PermaLink
Firefox 41: Mozilla stopft 30 Firefox-Lücken

Firefox Hello jetzt mit Text-Chat

Mozilla hat Firefox 41 veröffentlicht. Darin haben die Entwickler 30 Sicherheitslücken geschlossen. Der Video-Chat Firefox Hello bietet nun auch Instant Messaging.

Mit Firefox 41.0 bringt Mozilla seine nächste Browser-Generation an den Start. Die Firefox-Programmierer haben Fortschritte bei der Umsetzung weiterer HTML5-Funktionen gemacht und auch sonst ein paar Verbesserungen für Web-Entwickler vorgenommen. Anwender können so langsam daran denken, Firefox Hello als Alternative zu Skype ernst zu nehmen. Denn Hello, der auf dem WebRTC-Standard basierende Video-Chat, ermöglicht nun auch rudimentäres Instant Messaging, also den Austausch von Links und Textnachrichten.

WebRTC (Web Realtime Communications) erfordert nun Perfect Foward Secrecy (PFS), was an sich bereits ab Firefox 38 vorgesehen war. PFS soll sicherstellen, dass die Kommunikation zwischen den Teilnehmern nicht entschlüsselt werden kann – auch nicht nachträglich. Ohne PFS könnten Angreifern die benutzten Chiffrierschlüssel in die Hände fallen.

Die in Firefox 41.0 geschlossenen 30 Sicherheitslücken dokumentiert Mozilla in 19 Sicherheitsmitteilungen. Mehrere der beseitigten Schwachstellen stuft Mozilla als kritisch ein. Sie könnten sich eignen, um Code einzuschleusen und auszuführen. Dies trifft auch noch auf weitere gestopfte Lücken zu, denen Mozilla jedoch nur die zweithöchste Risikoeinstufung zuweist.

Web-Entwickler finden in Firefox 41 Unterstützung für mehrere APIs (Programmierschnittstellen), die nun standardmäßig aktiviert sind, etwa die CSS Font Loading API. Der von einigen Benutzern seit Version 38 festgestellten Leistungsminderung (vieles läuft nur langsam ab) will Mozilla mit dem Deaktivieren der Beschleunigungsfunktion WARP unter Windows 7 beikommen. Angaben zu weiteren Neuerungen finden Sie in den Release Notes für Firefox 41.

Zugleich ist auch Firefox ESR 38.3 erschienen. In der ESR-Version (Extended Support Release) haben die Mozilla-Entwickler lediglich Sicherheitslücken gestopft, soweit sie diese Programmversion betreffen. Andere Neuerungen finden in Firefox ESR keinen Einzug.

Mozilla Security Advisories | Release Notes für Firefox 41.0 || →neueste Sicherheits-Updates

08.09.15PermaLink
Kritische Lücken in Windows, IE, Edge und Office

Microsoft Patch Day mit 12 Security Bulletins

Beim heutigen Update-Dienstag hat Microsoft 12 Security Bulletins veröffentlicht, die insgesamt 52 Sicherheitslücken behandeln. Fünf Bulletins befassen sich mit Schwachstellen, die Microsoft als kritisch einstuft. Diese betreffen Windows, den Internet Explorer 7 bis 11, Edge sowie Microsoft Office. Allein 17 Lücken hat Microsoft im Internet Explorer gestopft, vier im neuen Web-Browser Edge (Windows 10), fünf in Office. Eine Windows-Lücke (CVE-2015-2546) sowie eine in Office (CVE-2015-2545) werden laut Microsoft bereits für Angriffe ausgenutzt. Diese letztgenannte Office-Lücke betrifft nur MS Office für Windows und kann mittels speziell präparierter EPS-Dateien ausgenutzt werden, um Code einzuschleusen und auszuführen. Weitere im Office-Bulletin behandelte Schwachstellen betreffen Excel (auch für Mac) sowie den kostenlosen Excel Viewer. Im Bulletin MS15-097 geht es um 11 Sicherheitslücken in Windows, die zum Teil mit Fonts (Schriftartdateien) zusammenhängen – ein Thema, das Microsoft bereits seit Monaten beschäftigt. Dieses Bulletin behandelt zudem eine Lücke im Kernelmodustreiber win32k.sys, die bereits ausgenutzt wird. Ein Angreifer kann sich damit, nach Anmeldung als Benutzer, höhere Berechtigungen verschaffen und Code im Kernelmodus ausführen. Mehrere Bulletins nebst Updates betreffen auch die nächste Windows Server-Generation, die bislang nur als Windows Server Technical Preview hältlich ist.
Die Security Bulletins im Überblick (Risikostufe lt. Microsoft): 

→Microsoft Download- und Info-Links | →neueste Sicherheits-Updates

Microsoft Security Bulletin Summary für September 2015 /