Browser: Mozilla Firefox 84.0.2 zum Download
Mozilla hat den Browser Firefox in seiner neuen Version 84.0.2 veröffentlicht. Laut des Änderungsprotokolls hat man eine Sicherheitslücke behoben. Zum Zeitpunkt dieses Beitrages hat man aber noch nicht offengelegt, um welche Lücke es sich handelt. Offenbar möchte Mozilla sicherstellen, dass erst genug Anwender auf Firefox 84.0.2 aktualisieren, bevor man weiterführende Informationen freigibt. Nutzer des Firefox können bereits über die interne Aktualisierungsfunktion des Browsers auf die neue Version wechseln.
Auf der Homepage steht:
„Ein böswilliger „Peer“ hätte einen COOKIE-ECHO-Block in einem SCTP-Paket so ändern können, dass er möglicherweise nachträglich verwendet werden kann. Wir gehen davon aus, dass es mit genügend Aufwand ausgenutzt werden könnte, um beliebigen Code auszuführen.“
„A malicious peer could have modified a COOKIE-ECHO chunk in a SCTP packet in a way that potentially resulted in a use-after-free. We presume that with enough effort it could have been exploited to run arbitrary code.“
https://www.mozilla.org/en-US/security/advisories/mfsa2021-01/#CVE-2020-16044
Mal als Info am Rande: „Datenschutz“ mit Firefox war vllt einmal.
Ich habe just gestern einen frisch aufgesetzten (danach offline auf „Homepage = about:blank“, „DNT“ und ohne Telemetrie konfigurierten) FF 84.0.1 gesnifft.
Bereits beim Öffnen verursacht er 8 MB(!) Traffic mit folgenden Domains (ich kopiere mal direkt den Teil meiner „hosts“, falls das jemand bei sich auch einfügen möchte):
0.0.0.0 classify-client.services.mozilla.com
0.0.0.0 firefox.settings.services.mozilla.com
0.0.0.0 location.services.mozilla.com
0.0.0.0 normandy-cdn.services.mozilla.com
0.0.0.0 shavar.services.mozilla.com
0.0.0.0 push.services.mozilla.com
0.0.0.0 content-signature-2.cdn.mozilla.net
0.0.0.0 firefox-settings-attachments.cdn.mozilla.net
0.0.0.0 tracking-protection.cdn.mozilla.net
0.0.0.0 normandy.cdn.mozilla.net
0.0.0.0 aus5.mozilla.org
0.0.0.0 shavar.prod.mozaws.net
0.0.0.0 autopush.prod.mozaws.net
0.0.0.0 fennec-catalog-cdn.prod.mozaws.net
0.0.0.0 normandy.cdn.mozaws.net
0.0.0.0 prod.balrog.prod.cloudops.mozgcp.net