Firefox 88 unterbindet weiteren Werbe-Tracker

Firefox (Bild: Mozilla)

Es geht um die Eigenschaft window.name. Sie erlaubt die Speicherung beliebiger Daten und ist von der Cross-Origin-Richtlinie ausgenommen. Firefox löscht diese Daten nun automatisch, sobald ein Nutzer innerhalb eines Tabs zu einer anderen Seite navigiert.

Mozilla hat seinen Browser Firefox auf die Version 88 aktualisiert. Das Update, das ab sofort für Windows, Linux und macOS erhältlich ist, schließt ein mögliches Datenleck, das unter anderem von Werbe-Trackern missbraucht wurde. Weitere Änderungen ergeben sich für PDF-Formulare und den Support für das FTP-Protokoll.

Das Datenleck basiert auf der “window.name” Funktion, die eigentlich die Navigation von Websites vereinfachen soll. Jede Website kann dort nahezu beliebige Daten hinterlegen. Sie ist zudem von der Same-Origin-Richtlinie ausgenommen, die verhindert, das Websites unerlaubt auf Daten anderer Seiten zugreifen können.

Als Beispiel nennt Mozilla in einem Blogeintrag eine Website, die für den Window-Name die E-Mail-Adresse eines angemeldeten Besuchers benutzt. Klickt der User auf dieser Seite auf einen Link, der ihn im selben Tag zu einer anderen Seite führt, hat diese Zugriff auf den Window-Name und damit auf die E-Mail-Adresse.

“Tracking-Firmen haben diese Eigenschaft missbraucht, um Informationen auszuspionieren, und haben sie effektiv in einen Kommunikationskanal für den Transport von Daten zwischen Websites verwandelt. Schlimmer noch, bösartige Websites konnten den Inhalt von window.name beobachten, um private Benutzerdaten zu sammeln, die versehentlich von einer anderen Website preisgegeben wurden”, schreibt Mozilla-Mitarbeiter Tim Huang.

Ab der Version 88 löscht Firefox nun den Inhalt von window.name, sobald ein Nutzer innerhalb desselben Tabs zu einer anderen Website navigiert. Zudem ist der Browser in der Lage, den ursprünglichen Wert von window.name wiederherzustellen, sobald ein Nutzer zur Ausgangsseite zurückkehrt. “Durch diese beiden Regeln zum Löschen und Wiederherstellen von window.name-Daten werden diese Daten effektiv auf die Website beschränkt, auf der sie ursprünglich erstellt wurden”, ergänzte Huang.

Neu ist auch, dass PDF-Formulare in PDF-Dateien eingebettetes JavaScript unterstützen. Dies wird laut Mozilla unter anderem für interaktive Funktionen für Validierungen benötigt.

Wie jedes neues Firefox-Release schließt auch die Version 88 mehrere Sicherheitslücken. Ein Security Advisory listet insgesamt 13 Anfälligkeiten, die nun keine Gefahr mehr für Nutzer darstellen sollen. Darunter sind fünf Schwachstellen, von denen ein hohes Risiko ausgeht. Darunter sind Bugs, die es laut Mozilla ermöglichen, Schadcode einzuschleusen und auszuführen.

Nutzer von Firefox erhalten die neue Version automatisch über die integrierte Updatefunktion. Unter Umständen ist ein Neustart des Browsers erforderlich, um die Aktualisierung abzuschließen.