Firefox 101.0 und 91.10esr freigegeben

[English]Die Mozilla-Entwickler haben am 31. Mai 2022 die Versionen 101.0 und 91.10esr des Firefox-Browsers veröffentlicht. Es handelt sich um Wartungsupdate, welche Bugs kritische Schwachstellen beseitigen.

Laut den Release Notes bringt das Update vom 31. Mai 2022 die nachfolgend aufgeführten Neuerungen für den Firefox 101.0:

• Mit der Medienabfrage prefers-contrast wird das Lesen jetzt einfacher. Die Option ermöglicht Websites zu erkennen, ob der Nutzer die Darstellung von Webinhalten mit einem höheren (oder niedrigeren) Kontrast gewünscht hat.
• Allen nicht konfigurierten MIME-Typen kann jetzt eine benutzerdefinierte Aktion nach Abschluss des Downloads zugewiesen werden.
• Firefox erlaubt es den Nutzern jetzt, bei Videokonferenzen so viele Mikrofone wie gewünscht gleichzeitig zu verwenden. Es kann zwischen den Mikrofonen jederzeit umschaltet werden (wenn der Konferenzdienstanbieter diese Flexibilität zulässt).

In der neuesten Version von Firefox wurden verschiedene Fehlerbehebungen und neue Richtlinien implementiert. Weitere Informationen finden Sie in den Versionshinweisen zu Firefox für Unternehmen 101. Für Entwickler gibt es ebenfalls einige kleine Neuerungen.

Zudem werden mit dem Update folgende Sicherheitsfixes (für den Firefox 101.0 und auch für den und 91.10esr) ausgerollt.

• CVE-2022-31736: Cross-Origin resource's length leaked: Schweregrad High; Eine bösartige Website könnte die Größe einer herkunftsübergreifenden Ressource erfahren haben, die Range-Anfragen unterstützt.
• CVE-2022-31737: Heap buffer overflow in WebGL: Schweregrad High; Eine bösartige Webseite könnte einen Out-of-Bounds-Write in WebGL verursachen, was zu einer Beschädigung des Speichers und einem potenziell ausnutzbaren Absturz führt.
• CVE-2022-31738: Browser window spoof using fullscreen mode: Schweregrad High; Beim Verlassen des Vollbildmodus konnte ein iframe den Browser über den aktuellen Zustand des Vollbildmodus verwirren, was zu Verwirrung beim Benutzer oder zu Spoofing-Angriffen führen konnte.
• CVE-2022-31739: Attacker-influenced path traversal when saving downloaded files: Schweregrad High; Beim Herunterladen von Dateien unter Windows wurde das %-Zeichen nicht escaped, was dazu führen konnte, dass ein Download fälschlicherweise in von Angreifern beeinflussten Pfaden gespeichert wurde, die Variablen wie %HOMEPATH% oder %APPDATA% verwendeten. Dieser Fehler betrifft nur Firefox für Windows.
• CVE-2022-31740: Register allocation problem in WASM on arm64: Schweregrad High; Auf arm64 konnte der WASM-Code zu einer falschen Assembler-Generierung führen, was ein Problem bei der Registerzuweisung und einen potenziell ausnutzbaren Absturz zur Folge hatte.
• CVE-2022-31741: Uninitialized variable leads to invalid memory read: Schweregrad High; Eine manipulierte CMS-Nachricht könnte falsch verarbeitet worden sein, was zu einem ungültigen Speicherlesevorgang und möglicherweise zu einer weiteren Beschädigung des Speichers führen könnte.

Weitere als mittel schwer eingestufte Schwachstellen sind hier beschrieben. Der neue Firefox und die ESR-Varianten können von dieser Webseite für diverse Plattformen heruntergeladen werden (die Variante ist über die angezeigten Listenfelder zu wählen).