Mozilla heeft een nieuwe versie van Firefox uitgebracht die 15 lekken verhelpt en standaard de Java-plug-in blokkeert. Oorspronkelijk was Mozilla van plan om in Firefox 26 alle browserplug-ins op de laatste versie van Adobe Flash Player na te blokkeren, maar daar zag het toch van af.

De algehele plug-inblokkade, op Adobe Flash Player na, vereist nog een extra testronde, zo stelt de browserontwikkelaar. Door de Java-blokkade die al wel is doorgevoerd zullen Firefox-gebruikers die een Java-applet willen starten een extra muisklik moeten verrichten. Op deze manier wil Mozilla Firefox-gebruikers tegen Java-aanvallen beschermen.

Verder ondersteunt de wachtwoordmanager nu door scripts gegenereerde wachtwoordvelden en kunnen Windowsgebruikers zonder schrijfrechten in de Firefox installatiedirectory toch updates uitvoeren. Dit vereist wel dat de Mozilla Maintenance Service actief is.

Lekken

Naast de nieuwe features verhelpt Firefox 26 ook 15 beveiligingslekken. Vijf van deze kwetsbaarheden bestempelt Mozilla als kritiek en zorgen ervoor dat een aanvaller het onderliggende systeem kan overnemen. Hiervoor hoeft een gebruiker met een kwetsbare Firefox-versie alleen een gehackte of kwaadaardige website te bezoeken. Er is geen verdere interactie vereist.

Tussen de minder kritieke lekken bevinden zich een aantal opmerkelijke kwetsbaarheden. Zo is er een JPEG informatie-lek verholpen waardoor een aanvaller via een special geprepareerde JPEG-afbeelding willekeurige gedeeltes van het geheugen kon uitlezen, alsmede afbeeldingen van andere domeinen kon stelen.

Alleen bij de Linux-versie is een lek opgelost waardoor websites toegang tot het klembord konden krijgen als een gebruiker een selectie met een middelklik (klik met het scrolwiel) probeerde te plakken in plaats van het plakken van de selectiecontent. Ook zorgt Firefox 26 ervoor dat een onterecht uitgegeven certificaat aan de Franse overheid wordt ingetrokken. Updaten naar Firefox 26 kan via de browser of Mozilla.org.