Und wieder nachgebessert: Der Firefox 43.0.4 ist da

Neue Software, Treiber oder BIOS-Versionen findet ihr hier
[ News about software, drivers and bios can be found here ]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34735
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Und wieder nachgebessert: Der Firefox 43.0.4 ist da

Beitrag von doelf » 07 Jan 2016, 16:12

Das vierte Update für den Firefox 43.0 liegt zum Download bereit. Die Version 43.0.4 behebt einen Absturz des Firefox im Zusammenspiel mit der Sicherheits-Software von G Data. Weiterhin wurden Download-Probleme unter Linux gelöst und SHA1 reaktiviert. Letzteres wirft einige Fragen auf, denn als Grund werden ausgerechnet Probleme mit Spyware genannt.

Doch zunächst zu dem Fehler, der bei Verwendung der insbesondere in Deutschland beliebten Produkte von G Data auftritt. Hier hatte die Funktion BankGuard (banksafe.dll), welche die Integrität von Binärdateien überprüft, zum Absturz des Firefox geführt. Mozillas Entwickler konnten die entsprechende Bibliothek aber nicht einfach auf die schwarze Liste setzen, da dies die Sicherheitsfunktion von G Data beeinträchtigt hätte, und so musste das Problem im Firefox selbst gelöst werden.

Auf Linux-Systemen mit mehreren Benutzerkonten scheiterte zuweilen der Download von Dateien, da nicht für jeden Benutzer ein eigenes temporäres Download-Verzeichnis angelegt wurde. Hatte ein Benutzer einen Download getätigt, schlug der Download der selben Datei beim nächsten Benutzer fehl, da das entsprechende Verzeichnis bereits existierte, aber dem anderen Benutzer zugeordnet war.

Das Thema SHA1 ist recht heikel: Diese Version des "Secure Hash Algorithm" gilt seit 2005 als angreifbar und sollte dringend ausgemustert werden. Bei Mozilla hatte man daher beschlossen, SHA1-Zertifikate, die nach dem 1. Januar 2016 herausgegeben worden, nicht mehr zu akzeptieren. Dies führte allerdings dazu, dass viele Benutzer gar keine HTTPS-Verbindungen mehr aufbauen konnten. Als Ursache wurden Spyware-Infektionen ausgemacht, da sich diese Spionageprogramme eigene Sicherheitszertifikate mit aktuellem Datum generieren, um den gesamten Datenverkehr analysieren zu können. Neben echter Schadsoftware gehören hierzu auch Programme der Werbeindustrie, die einige Benutzer freiwillig installieren, um Punkte für Bonusprogramme zu sammeln. Da die typische Reaktion der betroffenen Benutzer in einem Wechsel zu Chrome oder Edge besteht, hat man sich bei Mozilla entschlossen, die Daumenschrauben für SHA1 wieder zu lockern. Damit sind HTTPS-Verbindungen auf betroffenen Rechnern zwar wieder möglich, doch solange die Spyware nicht entfernt wurde, ist der verschlüsselte Datenverkehr alles andere als sicher. Eine echte Lösung liefert Mozillas Vorgehen leider nicht.

Download: Firefox 43.0.4
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten