[English]Die Mozilla-Entwickler haben zum 13. Juli 2021 die Version 90.0.0 und 78.12.0 ESR des Firefox-Browsers freigegeben. Es handelt sich bei der Version 90.0.0 um einen neuen Entwicklungszweig des Browsers, und beim ESR um ein Sicherheitsupdate, welches Schwachstellen beseitigen, aber auch Fehler beheben soll.
Anzeige
Firefox 90.0.0
Laut den Release Notes bringt die Version 90.0.0 einige Neuerungen sowie Fehlerbehebungen und Sicherheitsfixes. Hier ein grober Überblick über die Neuerungen:
- Unter Windows können Updates jetzt im Hintergrund angewendet werden, während Firefox nicht läuft.
- Firefox für Windows bietet jetzt eine neue Seite about:third-party, um Kompatibilitätsprobleme zu identifizieren, die durch Anwendungen von Drittanbietern verursacht werden
- Ausnahmen vom HTTPS-Only-Modus können in about:preferences#privacy verwaltet werden
- Drucken in PDF erzeugt jetzt funktionierende Hyperlinks
Weiterhin gibt es die Version 2 der SmartBlock-Funktion von Firefox, die das Private Browsing weiter verbessert. Facebook-Skripte von Drittanbietern werden blockiert, um zu verhindern, dass Sie getrackt werden. Die Scripte werden jetzt aber automatisch "just in time" geladen, wenn Sie sich auf einer Website für "Mit Facebook anmelden" entscheiden.
Zudem wurden einige Sicherheitslücken, die als hoch oder moderat eingestuft sind, in der neuen Version behoben.
- CVE-2021-29970: Use-after-free in accessibility features of a document
- CVE-2021-29971: Granted permissions only compared host; omitting scheme and port on Android
- CVE-2021-30547: Out of bounds write in ANGLE
- CVE-2021-29972: Use of out-of-date library included use-after-free vulnerability
- CVE-2021-29973: Password autofill on HTTP websites was enabled without user interaction on Android
- CVE-2021-29974: HSTS errors could be overridden when network partitioning was enabled
- CVE-2021-29975: Text message could be overlaid on top of another website
- CVE-2021-29976: Memory safety bugs fixed in Firefox 90 and Firefox ESR 78.12
- CVE-2021-29977: Memory safety bugs fixed in Firefox 90
Details lassen sich hier in den betreffenden Abschnitten nachlesen.
Anzeige
Firefox 78.12.0 esr
Es wurde auch ein Update des Firefox 78.12.0 esr mit einem Jahr Langzeit-Support mit den gleichen beseitigten Schwachstellen bereitgestellt. Der neue Firefox und die ESR-Variante können von dieser Webseite für diverse Plattformen heruntergeladen werden (die Variante ist über die angezeigten Listenfelder zu wählen).
Anzeige
Wann ist denn der nächste ESR-Sprung geplant? Mozilla hätte den ruhig noch vollziehen können, bevor der FTP-Support rausfällt.
Ich hab jetzt bei mir Waterfox als FTP-Client eingetragen. *facepalm*
FTP mache ich mit FileZilla. Damit kann man auch gut Dateien mit dem Smartphone per WLAN austauschen, über die App "primitive FTP" (dort Username und Passwort eingeben, einmalig "Android Storage Access SAF" markieren, einmalig die Ordner im Smartphone freigeben und auf Play-Symbol drücken und im FileZilla die in der App angezeigte IP-Adresse, den Usernamen und das Passwort eingeben und Verbinden-Button klicken).
So spart man sich eine USB-Kabel-Verbindung und kann den Magnetladeadapter in der USB-Buchse drin lassen, um diese zu schonen.
Mir geht es mehr um die wenigen verbliebenen FTP-Server, auf die man im Netz ab und an mal stößt. Da fände ich es schon praktisch, wenn man die auch direkt mit dem normalen Browser erreichen kann.
jetzt!
siehe https://wiki.mozilla.org/Release_Management/Calendar
10.08.2021: 78.13 ESR + 91.0 ESR
…
02.11.2021: 91.3 ESR
https://wiki.mozilla.org/Release_Management/Calendar
@Anonymous
@ralf
Danke euch beiden! Ist diesmal ein ungewöhnlich großer Abstand mit 13 Versionen.
Firefox führt bei mir zu einem System -Freeze für mehrere Minuten nach dem ersten Logon, wenn unter Einstellungen, Datenschutz & Sicherheit der Haken bei
"Aktuelle Gültigkeit von Zertifikaten durch Anfrage bei OCSP-Server bestätigen lassen"
gesetzt ist.
Entferne ich den Haken und boote neu, dann ist der Systemstart normal.
Setze ich den Haken wieder und boote neu, dann habe ich wieder diesen mehrminütigen Systemfreeze, also reproduzierbar.
Das passiert auch dann, wenn ich den EMET-Dienst deaktiviert habe, daran liegt es also nicht.
Im Profilordner habe ich auch schon die cert8.db und cert9.db umbenannt, damit Firefox die sauber neu anlegen kann.
( about:support , Profilordner, Ordner öffnen )
Auf welche Weise werden denn diese Zertifikate abgeglichen so kurz nach dem Logon, wenn der Firefox noch gar nicht gestartet ist?
Welcher Dienst oder welcher Task in der Ausgabenplanung ist dafür zuständig?
Was genau bremst da und warum reagiert das übrige System dann nicht mehr?
Wie kann das sein, dass ich dieses Problem habe, andere aber nicht?
Hab den Firefox 90 bereits am Montag installiert, der Haken ist auch gesetzt, keinerlei Probleme beim Booten.
Ich habe das Problem nicht erst mit v90, sondern schon Monate vorher.
Irgend etwas ist hier bei mir anders.
Kann das eventuell an einer sehr großen Hosts-Datei liegen?`
Trotzdem würde ich wirklich gerne wissen, welcher Dienst oder Task diesen Zertifikat-Abgleich durchführt.
Ich habe jetzt mal die alten Profile komplett gelöscht und ein neues Profil angelegt (mittels Konsole mit Admin-Rechten und bei geschlossenem Firefox den Befehl eintippen: "firefox -P" [großes P]).
Neustart erzeugt jetzt keinen Freeze mehr bei angehaktem Zertifkat-Abgleich.
Wer weiß wie lange das so bleibt.
Vorher hatte ich über about:profiles einen neuen zusätzlichen Standardbenutzer angelegt, aber das brachte keinen Erfolg.
"Ausnahmen vom HTTPS-Only-Modus können in about:preferences#privacy verwaltet werden."
Ich frage mich gerade, wozu es das Addon "HTTPS Everywhere" noch gibt. Für ältere Firefox-Versionen, in denen es den HTTPS-Only-Modus noch nicht gibt? Ich hab's unnötigerweise immer noch installiert.
Hm, HTTPS Everywhere hat doch einen Vorteil: Wenn Seiten tatsächlich kein HTTPS können (hatte ich gerade), dann bekommt mit dem Addon automatisch die HTTP-Version. Bei der nativen Funktion von FF muss man das erst bestätigen. Ich installiere mir das Addon wieder und schalte die native Funktion im FF wieder aus.
Hallo zusammen,
in about:config gibt es die Option "network.ftp.enabled" zwar noch, und diese steht auch noch auf dem angepassten Wert "true", jedoch werden normale FTP-Links nun dennoch geblockt.
Verstehe ich das jetzt richtig, dass das ab dem FF90 bzw. 78.x.ESR mit Bordmitteln grundsätzlich nicht mehr möglich ist?
Müsste ich stattdessen jetzt z.B. die vorletzte 68.x.ESR-Version installieren, um das Problem zu umgehen?
Nein, Firefox ESR 78 basiert auf dem Firefox 78 Zweig, nicht Firefox 90.
Innerhalb eines ESR Zweig werden keine Features verändert, wie beim normalen Firefox.
In Firefox ESR 78.x funktioniert FTP Problemlos.
Sonst würde Mozilla ja gegen seine eigene Intention des ESR verstoßen.
Da Firefox 90 aber ein neuer Entwicklungszweig ist und der ESR nun bei .12 angekommen ist, wird demnächst auch ein neuer ESR 90 kommen.
Siehe auch die Mozilla Roadmap: https://support.mozilla.org/en-US/kb/firefox-esr-release-cycle
"Unter Windows können Updates jetzt im Hintergrund angewendet werden, während Firefox nicht läuft."
Darauf habe ich lange gewartet. Wir haben etliche PC und auch vereinzelt VMs, die teilweise über Wochen nicht benutzt werden oder die zwar täglich verwendet werden, der Firefox aber nur ganz selten gestartet wird. Die hatten bislang erst dann einen aktuellen FF, nachdem dieser zum zweiten Mal (nach dem hoffentlich erfolgten automatischen Update nach dem ersten Start) gestartet wurde.
Ich hoffe dass das ordentlich funktioniert.
Die Zertifikat-Funktion funktioniert bei mir schon wieder nicht ohne Freeze, trotz neuem Profil.
Im Privacy-Handbuch steht dazu, dass man diese Funktion besser abschaltet:
"Die Validierung via OCSP-Server ist veraltet und leicht auszutricksen"
Die Anfragen bei den OCSP-Servern können zum Tracking benutzt werden.
privacy-handbuch dot de slash handbuch_21r.htm
Also die Funktion abschalten:
"Aktuelle Gültigkeit von Zertifikaten durch Anfrage bei OCSP-Server bestätigen lassen"
Statt dessen die Funktion "OCSP.Stapling" benutzen:
"OCSP.Stapling ist ein modernes Verfahren, dass die oben genannten Probleme vermeidet."
about:config
security.OCSP.enabled = 0 (identisch mit Haken weg bei Zertifkat…)
security.ssl.enable_ocsp_stapling = true (ist schon Standard)
security.ssl.enable_ocsp_must_staple = true (ist schon Standard)
(Die Einstellungen für OCSP.Stapling sind unabhängig von security.OCSP.enabled.)
Warum also baut Firefox so eine potentiell unsichere und langsame freezende Funktion ein und macht sie auch noch zum Standard (setzt den Haken bei "Aktuelle Gültigkeit von Zertifikaten durch Anfrage bei OCSP-Server bestätigen lassen")?
Pro Zertifikat-Anfrage ist ein Timeout von 10 Sekunden eingebaut.
Bei vielen Zertifikaten und langsamen OCSP-Servern dauert das zu lange.
Also einfach diesen Haken entfernen und der Freeze ist weg, diese Tracking-Möglichkeit ist weg und die potentielle Sicherheitslücke ist ebenfalls weg.
Warum hält sich Firefox nicht mal an das Privacy-Handbuch?
Zum Glück hatte ich diesen Freeze, sonst hätte ich mich nie auf Fehlersuche begeben und hätte auf diese falsch aktivierte Zertifikat-Funktion nie geachtet.
Schaltet diese Funktion ab!
Danke für den Tipp. Die beiden Funktionen security.ssl.* sind schon auf true bei mir (gerade upgegradet).
Sehr interessant, danke!
"Die Einstellungen für OCSP.Stapling sind unabhängig von security.OCSP.enabled."
Deshalb kann man das tatsächlich machen:
"security.OCSP.enabled = 0"
Vorausgesetzt, das Privacy-Handbuch ist da auch wirklich aktuell, was die Unabhängigkeit der Settings anbelangt.