Webbrowser: Sicherheitsupdates für Chrome und Firefox

Die großen Browser-Anbieter Google und Mozilla Foundation haben ihre Webbrowser Chrome und Firefox sowie das Mailprogramm Thunderbird aktualisiert. Die neuen Versionen schließen vor allem mehrere, teils hochriskante Sicherheitslücken. Beide Browser haben dabei einen Versionssprung vollzogen: Chrome ist nun in Entwicklungszweig 124 angekommen, Firefox hingegen bei 125.

Google hat sich laut Versionsankündigung um 22 Schwachstellen gekümmert. Davon erreichen drei die Risikoeinstufung "hoch", sechs "mittel" und vier "niedrig" – zu neun Lücken fehlen jedwede Informationen, sie wurden offenbar nicht von externen IT-Forschern gemeldet. Am schwerwiegendsten ist ein Sicherheitsleck in der Javascript-Engine V8, in der eine "Object corruption" auftreten kann (CVE-2024-3832, kein CVSS-Wert, Risiko laut Google "hoch"). Der Melder kann dafür 20.000 US-Dollar Belohnung einstreichen. Auch in WebAssembly kann eine "Object corruption" auftreten (CVE-2024-3833, kein CVSS-Wert, hoch), während in der Downloads-Komponente eine Use-after-free-Lücke geschlossen wurde (CVE-2024-3834, kein CVSS-Wert, hoch).

Neben Chrome auch Firefox mit Sicherheitslücken

In Firefox haben die Entwickler ihrer Schwachstellenmeldung zufolge hingegen 15 Sicherheitslecks ausgebessert. Davon stufen sie neun als hohes Risiko, fünf als mittleres und eines als niedrigen Bedrohungsgrad ein. Unter anderem konnte der Just-in-time-Compiler (JIT) falsche Objekte zurückliefern, die Garbage Collection ist von einer Use-after-free-Lücke betroffen oder nach einer fehlerhaften Optimierung eines Switch-Statements kann ein Lese-Zugriff außerhalb vorgesehener Speicherbereiche auftreten.

Die Schwachstellen mit hohem Risiko in den Webbrowsern lassen sich von Angreifern in der Regel mit speziell präparierten HTML-Seiten ausnutzen, um Opfern Schadcode unterzujubeln.

Für Googles Sprung auf den 12er-Entwicklungszweig gibt es derzeit keine Hinweise auf neue Funktionen oder nicht-sicherheitsrelevante Korrekturen. Firefox unterstützt ab Version 125.0.1 die Encrypted Media Extensions (EME) mit dem AV1-Codec, was höhere Qualität bei der Wiedergabe von Videos von Videostreaming-Anbietern ermöglicht. Der interne PDF-Viewer unterstützt Hervorhebung in Texten. Der Browser soll Downloads von potenziell als nicht vertrauenswürdig eingestuften Quellen stärker ("more proactively") blockieren. Wenn eine URL in der Zwischenablage liegt und Nutzer oder Nutzerinnen in die Adressleiste klicken, soll die URL als Autovervollständigen-Kandidat angezeigt werden, sodass die Adresse mit einem Klick ausgewählt und angesurft werden kann. Weitere kleine Änderungen finden sich in den Firefox-Releasenotes.

Firefox weist beim ersten Start nach der Aktualisierung auf den neuen Browser-Benchmark Speedometer 3.0 hin und ermutigt zu dessen Nutzung. Die Geschwindigkeit habe sich bis zu 25 Prozent erhöht bezüglich der Seitenladezeiten, schreiben Mozillas Entwickler. Mitte März wurde der Benchmark veröffentlicht. Vergangene Woche hatte Apple die Werbetrommel dafür gerührt, dass der Webbrowser Safari darin sogar 60 Prozent schneller sei.

Aktuelle Versionsstände

Die Fehler beseitigen die Chrome-Versionen 124.0.6367.54 für Android, 124.0.6367.60 für Linux sowie 124.0.6367.60/.61 für macOS und Windows. Die Extended Stable-Fassung macht ebenfalls den Sprung in den 124-er-Zweig und ist mit dem Stand 124.0.6367.60/.61 für macOS und Windows aktuell. Die Aktualisierung lässt sich durch Klick auf das Einstellungsmenü, das sich hinter dem Symbol mit den drei aufeinanderliegenden Punkten rechts von der Adressleiste befindet und dem weiteren Weg über "Hilfe" – "Über Google Chrome" mit dem sich öffnenden Versionsdialog anstoßen, sofern sie nicht schon installiert wurde.

Firefox ist als Version 125.0.1 aktuell, es gibt jedoch auch die Firefox ESR-Version, die auf Stand 115.10 gehievt wurde und vier Sicherheitslücken von hohem Bedrohungsgrad, vier mittlere und eine mit niedrigem Risiko schließt. Welche Sicherheitslücken Thunderbird 115.10 schließt, ist mangels Security-Advisory von Mozilla noch unklar. Die neue Version korrigiert den Thunderbird-Releasenotes zufolge jedoch einige kleinere Fehler; in der Regel schließt Thundbird dieselben Sicherheitslücken wie die gleichlautende Firefox-ESR-Version, auf der das Mailprogramm fußt.

Im Mozilla-Webbrowser öffnet sich nach Klick auf das Symbol mit den drei aufeinanderliegenden Strichen rechts von der Adressleiste das Einstellungsmenü, wo sich unter "Hilfe" – "Über Firefox" der Versionsdialog öffnet und ebenfalls bei Verfügbarkeit den Update-Prozess anstößt.

Unter Linux zeichnet in der Regel die Softwareverwaltung der genutzten Distribution für die Aktualisierung der Software verantwortlich. Linux-Nutzer und -Nutzerinnen sollten sie daher einmal starten und nach verfügbaren Updates suchen lassen.

Da auch andere Webbrowser die Chromium-Quellen nutzen, sind für diese in Kürze ebenfalls Updates zu erwarten. Das betrifft etwa Microsofts Edge-Browser.

(dmk)