Browser

Über eine Malvertising-Kampagne ist in den vergangenen Monaten Schadcode verteilt worden. Die Macher des Stegano-Exploit-Kits versteckten dabei unsichtbare Pixel in Werbeanzeigen und nutzen Exploits in Flash und dem Internet Explorer.

Ein Firefox-Klon in Nordkoreas staatlichem Linux-Betriebssystem Red Star OS akzeptiert manipulierte Befehle - Angreifer können damit aus der Ferne Code ausführen. Es ist nicht der erste Fehler.

Schon in einem Jahr soll der Firefox-Browser nur noch sogenannte Webextensions als Addons benutzen. Alte Addons, die in die Interna des Browsers eingreifen, sind dann nicht mehr erlaubt. Mozilla kann sich so von veralteter Technik wie XUL und XPCOM verabschieden.

Den Trackingschutz für iOS von Mozilla gibt es künftig nicht mehr nur für den Safari-Browser, sondern auch als eigenständigen Browser, der Firefox Focus heißt. Die Privatsphäre der Nutzer soll damit weitgehend geschützt werden.

Chrome speichert Dateien automatisch ab - und manche Linux-Distributionen verarbeiten die heruntergeladenen Dateien sofort mit extrem unsicherem Code von Gstreamer. Der Entdecker der Lücke meint, dass derart gravierende Schwächen zur Zeit in Windows nicht vorkommen.

Dank Veränderungen am Addon-SDK startet die aktuelle Version 50 des Firefox-Browsers schneller, auch ohne installierte Addons. Zudem enthält der Browser Emojis für Systeme, die dafür keine nativen Fonts haben und die Suche ist ein bisschen intelligenter geworden.

Aktuelle Nightly-Versionen des Firefox können langsame Netzwerk-Verbindungen simulieren, die weltweit im Mobilfunk üblich sind. Das soll beim Erstellen einer Seite helfen. Neu ist die Idee einer Drossel für Entwickler aber nicht.

Die CDU-Fraktionsvize Nadine Schön fordert eine Abkehr von der Datensparsamkeit. Das dürften manche Politikerkollegen nach der Ausspähung durch ihre Browser-Addons anders sehen.

Eine Malware-Kampagne, die sich gegen Apple-Nutzer richtet, bietet gefälschte Versionen von Googles Chrome-Browser. Dabei nutzten die Betrüger ausgerechnet Googles Adword-Anzeigen, um Opfer hereinzulegen.

Update Der Browserverlauf von deutschen Nutzern wird offenbar von Addon-Anbietern vermarktet. Die Daten hätten sich leicht deanonymisieren lassen, berichtet das ARD-Magazin Panorama. Die Erweiterung Web of Trust wurde mit einem simplen Trick überführt.

In einer koordinierten Aktion starten die großen Browserhersteller die Vorschauphase für Webassembly. Das Design des sogenannten Bytecodes fürs Web ist damit so gut wie abgeschlossen, weshalb das Projekt schon im kommenden Jahr Javascript in Teilen ablösen könnte.

Nach Mozilla und Apple wird auch Google die Zertifikate von Wosign und Startcom aus dem Truststore des Chrome-Browsers entfernen. Dabei geht das Unternehmen einen entscheidenden Schritt weiter - und dürfte Admins Mehrarbeit bescheren.

Schon in einem Jahr sollen erste Arbeiten einer neuen Webengine im Firefox-Browser bereitstehen. Dazu will Hersteller Mozilla große Teile der in Rust geschriebenen Engine Servo im Firefox unterbringen, was die Leistung des Browsers deutlich steigern soll.

Der Microsoft Update Catalog hat keine künstliche Zugangsbeschränkung mehr. Microsoft hat die ActiveX-Voraussetzung aus dem alten Werkzeug für Administratoren entfernt.

Alle TLS-Zertifizierungsstellen müssen ab nächstem Herbst ihre Zertifikate vor der Ausstellung in ein öffentliches Log eintragen. Mittels Certificate Transparency kann Fehlverhalten bei der Zertifikatsausstellung leichter entdeckt werden - das TLS-Zertifikatssystem insgesamt wird vertrauenswürdiger.

Mozillas Firefox-Browser wird keine TLS-Zertifikate der beiden skandalträchtigen Certificate Authorities mehr akzeptieren. Wie dies genau umgesetzt wird, hat die Stiftung nun erläutert.

Update Ein weiterer großer Zeitungsverlag führt eine Adblocker-Sperre ein. Allerdings lässt Sueddeutsche.de den Lesern eine Möglichkeit, trotz Werbeblocker die Artikel kostenlos zu lesen.

Etwa ein Jahr nach dem Neustart von Node.js läuft das Projekt zumindest aus Sicht der Nutzer wieder rund. Doch die Entwickler haben noch einige Probleme zu lösen. Welche das sind und wie das geschehen soll, erklärt Release-Manager Myles Borins im Gespräch mit Golem.de.

Bisher hat Microsoft seinen Edge-Browser nur dann aktualisiert, wenn auch ein Windows-Update verteilt wurde. Diese Frequenz will der Hersteller jetzt durch Updates über den Windows Store erhöhen.

Das OLG Köln hat das bezahlte Whitelisting durch Adblock-Plus-Anbieter Eyeo untersagt. Nun will der Axel-Springer-Verlag eine komplette Freischaltung seiner Werbung durch den Adblocker durchsetzen.

Bund und Länder wollen ein gesetzliches Verbot von Adblockern prüfen. Doch das Selbstbestimmungsrecht der Nutzer und die Wettbewerbsfreiheit dürften solchen Plänen entgegenstehen.

Die NPAPI soll verschwinden, daher plant Mozilla Chrome-Plugins für den Firefox-Browser: Durch das Pepper-API sollen PDFium für Dokumente und Pepper Flash für Flash-Inhalte integriert werden.

Um jederzeit nach einem Absturz die alten Tabs im Browser öffnen zu können, muss der Browser regelmäßig einen Status abspeichern. Doch gespeichert werden unter Umständen pro Tag mehrere Gigabyte. Das hängt aber von den besuchten Seiten ab und wird allenfalls für kleine SSDs unangenehm.

Um Infektionen durch Webseiten einzudämmen, soll Microsofts Edge-Browser künftig in einer eigenen virtuellen Umgebung ausgeführt werden können. Die Funktion wird aber nur Geschäftsnutzern zur Verfügung stehen.

Nach mehreren Problemen mit Startcom- und Wosign-Zertifikaten will Mozilla den Zertifikaten der Unternehmen offenbar das Vertrauen entziehen. Auch Google könnte diesem drastischen Schritt folgen.

Dank der Webspeech-Synthese-API kann die aktuelle Version 49 von Firefox Texte vorlesen, was die Leseansicht unterstützt. Zudem sind die Videodarstellung und der Umgang mit HTTPS-Logins verbessert worden. Hello ist nicht mehr Teil des Browsers.

Sicherheitsforscher haben Lücken in der Software von Teslas Spitzenmodell gefunden, die unter bestimmten Bedingungen die Übernahme zahlreicher Funktionen ermöglichen. Einige der Angriffe sind durchaus sicherheitsrelevant - doch Tesla hält einen Exploit für unwahrscheinlich.

Um die Entwicklerwerkzeuge des Firefox aufzuräumen, hat ein Team von Mozilla den Debugger von Grund auf in Webtechniken neu erstellt. Unterstützt werden zudem Chrome und NPM.

Update Eine neue Plattform soll die schnelle Einbindung von "unaufdringlicher Werbung" erlauben. Der Werbeblocker Adblock Plus könnte damit das Verbot des bezahlten Whitelistings umgehen.

Wie umgehen mit unverschlüsselten Webseiten? Google will in Chrome künftig warnen, wenn unverschlüsselte Webseiten Passwörter und Kreditkartendaten abfragen. Doch das ist nur der Beginn der Planungen.

Eigenlicht sollte 2017 Schluss sein, aber Adobe hat offenbar Erbarmen mit dem NPAPI-Flash-Plugin für Linux. Mit einem Patch wird das Tool auf Version 23 gebracht, es soll auch künftig unterstützt werden.

Der Pegasus-Exploit wurde offenbar auch für OS X entwickelt. Apple hat die Lücke mit einem aktuellen Patch geschlossen. Die Bedrohung für normale Nutzer dürfte sich aber in Grenzen halten.

Eine ganze Reihe von Vorfällen bringt die Zertifizierungsstelle Wosign in Erklärungsnot. Verschiedene Sicherheitslücken ermöglichten die unberechtigte Ausstellung von HTTPS-Zertifikaten. Die Zertifizierungsstelle Startcom wurde unterdessen offenbar vom Wosign-Gründer übernommen.

Google hat in seinen Webbrowser Chrome die Übertragungstechnologie Google Cast fest eingebaut. Ein Plugin ist ab sofort nicht mehr nötig, um Musik oder Videos an ein Cast-fähiges Gerät zu streamen.

Wie sicher ist die eigene Internetseite? Der Test mit einem neuen Tool von Browserhersteller Mozilla könnte für viele Betreiber ernüchternd sein.

Der Browser-Hersteller Opera hat seine Nutzer über einen Angriff auf seine Server informiert. Von der schnell abgewehrten Attacke sei das Sync-System betroffen, möglicherweise wurden Passwörter und Nutzernamen abgegriffen. Sicherheitshalber wurden alle Passwörter zurückgesetzt.

Ein neuer Angriff auf TLS- und VPN-Verbindungen betrifft alte Verschlüsselungsalgorithmen wie Triple-DES und Blowfish, die Daten in 64-Bit-Blöcken verschlüsseln. Der Angriff erfordert das Belauschen vieler Gigabytes an Daten und dürfte damit nur selten praktikabel sein.

Mit seinem Browser und Add-on Cliqz will Burda ein schnelleres Surfen mit weniger Nutzertracking ermöglichen. Langfristig soll darüber jedoch gezielte Werbung ausgespielt werden.

Google hat das bevorstehende Ende von Chrome-Apps im Browser verkündet. Nutzer werden auf Web-Apps verwiesen. Nur für Chrome OS wird es weiterhin Chrome-Apps geben.

Nach langen Experimenten bringt Mozilla das umstrittene Web-DRM vielleicht schon mit der kommenden Version 49 des Firefox-Browsers auf Linux. Das verwendete Kryptomodul stammt von Google - Netflix läuft damit bereits.

Einige alte Technologien sollen verschwinden: Google will Flash weitgehend aus Chrome verbannen und Microsoft entfernt die unsichere RC4-Cipher aus Edge und dem Internet Explorer.

Let's Encrypt erreicht einen weiteren Meilenstein: Mozilla wird die freie CA in sein eigenes Root-Programm für Zertifikate aufnehmen. Weitere Browserhersteller sollen folgen.