Firefox 150.0.2, ESR 140.10.2 und ESR 115.35.2 freigegeben – druckt weiterhin Passwörter im Klartext

Veröffentlicht am 7. Mai 2026 von Günter Born

MozillaDie Mozilla-Entwickler haben zum 7. Mai 2026 die Version 150.0.2, die ESR -Version 140.10.2 und die ESR Version 115.35.2 des Firefox-Browsers veröffentlicht. Auch in der Version 150.0.2 gibt es das Problem, dass der Browser seit der Version 150.0 Passwörter in Webseiten im Klartext ausdruckt.

Firefox 150.0.2 veröffentlicht

Ein Blog-Leser hat in diesem Kommentar auf das neue Release hingewiesen (danke dafür). Die Mozilla-Entwickler geben in den Release Notes der Version 150.0.2 des Firefox-Browsers folgende Problembehebungen an:

  • Es wurde ein Problem behoben, bei dem Websites in internen oder Unternehmensnetzwerken, die eine Anmeldeaufforderung erfordern, eine leere Seite anzeigten. (Fehler 2034752)
  • Es wurde ein Problem behoben, durch das das Hervorheben von Text in gescannten Bildern im integrierten PDF-Viewer nicht funktionierte. (Fehler 2034980)
  • Es wurde ein Problem behoben, bei dem das „Neu"-Symbol auf Menüpunkten der geteilten Ansicht bestehen blieb. (Fehler 2027793)
  • Es wurde ein Problem behoben, das dazu führte, dass einige Webcams bei Videoanrufen nicht richtig funktionierten. (Fehler 2034722)
  • Es wurde ein Problem behoben, bei dem ein Tab abstürzte, wenn verschachtelte Ordner per Drag & Drop auf eine Webseite gezogen wurden. (Fehler 2030461)
  • Die Darstellung von Websites mit komplexen 3D-Effekten in Firefox wurde verbessert, wodurch Fälle behoben wurden, in denen Teile der Seite verschwinden oder falsch angezeigt werden konnten. (Bug 2034283)
  • Ein Problem wurde behoben, das dazu führen konnte, dass die lokale Sicherungsfunktion von Firefox nicht erfolgreich abgeschlossen werden konnte. (Bug 2029240)
  • Ein Problem wurde behoben, bei dem die Status- und Navigationsleisten flackerten oder falsche Farben anzeigten, wenn die Adresse einer Seite bearbeitet wurde. (Fehler 2021596)
  • Das Erscheinungsbild der Suchvorschläge in der Adressleiste wurde verbessert, indem verhindert wurde, dass Symbole gestreckt oder verzerrt angezeigt werden. (Fehler 2035353)

Weiterhin geben die Entwickler an, dass verschiedene Security-Fixes in diesem Update enthalten seien.

  • CVE-2026-8090, height: Use-after-free in the DOM: Networking component
  • CVE-2026-8092, height: Memory safety bugs fixed in Firefox ESR 115.35.2, Firefox ESR 140.10.2 and Firefox 150.0.2
  • CVE-2026-8093, height: Memory safety bugs fixed in Firefox 150.0.2

Die Fehler im Zusammenhang mit der Speichersicherheit wurden im Firefox ESR 115.35.1, Firefox ESR 140.10.1 und Firefox 150.0.1 entdeckt. Bei einigen dieser Fehler gab es Anzeichen für eine Speicherbeschädigung, und die Entwickler gehen davon aus, dass einige davon mit entsprechendem Aufwand ausgenutzt worden wären, um beliebigen Code auszuführen.

Firefox ESR 140.10.2 und Firefox ESR 115.35.2 freigegeben

Gemäß obiger Beschreibung und den Release Notes wurden auch der Firefox ESR 115.35.2 (läuft unter Windows 7-8.1 und macOS 10.12-10.14) sowie der Firefox ESR 140.10.2 freigegeben.

Firefox 150.0 – 150.0.2 druckt Passwörter

Blog-Leser Klaus hatte mich zum 24. April 2026 per Mail kontaktiert, und informierte mich über ein Problem beim Firefox 150.0. Ihm war aufgefallen, dass der Browser Firefox 150.0 nach dem jüngsten Update verdeckte Passwörter (****) beim Ausdruck (PDF-Speicherung und Printing) plötzlich ganz offen (also z.B. als "1234") anzeigt. Der Leser schrieb "Das Problem finde ich nicht im Internet behandelt." , was aber nicht (mehr) ganz stimmt. Zumindest bei deskmodder.de gibt es diesen Kommentar vom gleichen Datum, wo das ebenfalls erwähnt wird. Die hier im Blog beschriebenen Versionen 150.0.1 und 150.0.2 beheben den Bug wohl nicht.

Dieser Beitrag wurde unter Firefox, Problem, Sicherheit, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

9 Kommentare zu Firefox 150.0.2, ESR 140.10.2 und ESR 115.35.2 freigegeben – druckt weiterhin Passwörter im Klartext

  2. Gänseblümchen sagt:
    8. Mai 2026 um 15:53 Uhr

    Mit dem Update wurden laut Heise 423 Sicherheitslücken geschlossen… Eieieieieiei…

    https://www.heise.de/news/Dank-KI-Im-April-so-viele-Firefox-Luecken-geschlossen-wie-vorher-in-zwei-Jahren-11287023.html

    Ich dachte, kürzlich bei Chrome das wären schon richtig viel, 127, sowas gabs auch noch nie zuvor. Aber es bewahrheitet sich wieder, in Opensource-Quellcode kann jeder reingucken und die Fehler selber finden. Das ist kein Mythos, oder doch? (Achtung, Wortspiel!)

    Antworten
    • Anonym sagt:
      8. Mai 2026 um 21:14 Uhr

      Gänseblümchen und Froschkönig sind ein und derselbe Wadenbeisser!
      Beide haben den gleichen Schreibstil, beide Linux- und OpenSource-"Basher" usw.
      But wait…
      da kommt noch mehr…

      Beide sind höchswahrscheinlich der ehemalige Blog-Troll "1ST1".
      Vergleicht es selbst, sucht nach deren Beiträgen.
      Hier z.B. ein Anhaltspunkt:
      Er schrieb einen Beitrag als Froschkönig:
      https://www.borncity.com/blog/2025/08/29/microsoft-word-soll-automatisch-in-der-cloud-speichern/#comment-228343

      Dann später als Gänseblümchen in einem anderen Beitrag zum gleichen Thema:
      https://www.borncity.com/blog/2025/09/05/microsoft-365-verwirrung-und-neues-zur-onedrive-speicherung/#comment-229061
      Zitat: …hatte ich ja schon früher geschrieben…
      Damit beruft er sich auf den oberen Beitrag zur Cloud-Speicherung,
      nur hat er dort als Froschkönig gepostet!

      Aber was soll's…
      Leben und leben lassen!

      Antworten
    • Günter Born sagt:
      8. Mai 2026 um 21:54 Uhr

      Ab hier Folgekommentare gelöscht, da nicht mehr zielführend. Das Wortspiel und die Anspielungen hätte man sich schlicht sparen können – aber wenn es dem Ego dient …

      Nur so viel: Heute Abend ist mir folgender Kommentar von Florian Roth (Head of Research Nextron Systems) untergekommen:

      https://xcancel.com/cyb3rops/status/2052490351743521193

      Ich vermute, dass es bei diesem Effekt weniger darum geht, dass LLMs plötzlich generell „besser" darin sind, Sicherheitslücken zu finden als Menschen.

      Es geht vielmehr darum, dass zum ersten Mal eine grundlegend andere Perspektive auf ausgereifte Codebasen in großem Maßstab angewendet wird.

      Menschliche Prüfer haben diese Projekte jahrzehntelang mit relativ ähnlichen Arbeitsabläufen und Denkmustern begutachtet. LLMs gehen denselben Code anders und in enormem Umfang an.

      Vielleicht sehr bedenkenswert … ansonsten überlege ich mir schon einige Zeit, die Kommentatoren Gänseblümchen und Froschkönig zu sperren, da ich viele Kommentare als nicht mehr gut für die Mitleserschaft ansehe, die zunehmend genervt reagiert, und der Duktus des Kommentarstils nicht nur mich an den permanent gebannten Nutzer 1ST1 erinnert. Ich habe zumindest mal eine Moderationsregel im Blog gesetzt. Eigentlich schade, dass solche Ansätze notwendig werden…

      Antworten
      • 1ST1 sagt:
        9. Mai 2026 um 20:56 Uhr

        Hallo Herr Born, ich verbitte mir diese Spekulationen um meine Identität. Nein, mit den beiden anderen Kommentatoren habe ich nichts zu tun. Fragen Sie doch mal "Anonym" welcher gesperrte Namen er zuvor war, so lange gibts den hier noch nicht. Und der bellt ganz schön.

        Oh, ich bin gebannt… 8-O

        Antworten
        • Günter Born sagt:
          10. Mai 2026 um 06:43 Uhr

          Schön, dass wir darüber gesprochen haben. Einfach sinnstiftende Kommentare schreiben, dann bleiben die auch drin. Ich habe übrigens die Sperrliste vor einiger Zeit geleert …

          Antworten
          • Froschkönig sagt:
            10. Mai 2026 um 14:39 Uhr

            Auch ich möchte nicht, dass hier über mich disktuiert wird. Ich bin weder 1ST1 noch Gänseblümchen. Ich bin ich und sonst niemand.

            Und diese "Entdeckung" oben, ich habe bei verschiedenen Anlässen bestimmt 5 – 6 mal geschrieben, was Microsoft in Europa nicht tun wird, wegen DSGVO. Dass Gänseblümchen das auch geschrieben hat, bestätigt nochmal meine Einschätzung und bisherige Erfahrung. Also, gut gebrüllt, "Anonym" alias ex irgendjemand anders, man schlussfolgert halt immer nur das, was einem in den Kram passt.

            Antworten
            • Günter Born sagt:
              10. Mai 2026 um 15:02 Uhr

              Dann empfehle ich eine entsprechenden Kommentierung, sonst lösche ich künftig rigoros, das ist meine letzte Ermahnung! Für mich ist es am einfachsten, wenn ich nicht moderieren muss. Es sind immer eine Hand voll Kommentatoren, bei denen ich eingreifen muss, weil es eskaliert.

              Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.