Remote-Code-Execution-Lücke in Firefox, Firefox ESR und Thunderbird
Mozilla hat eine kritische Schwachstelle in seinen Webbrowsern und seinem Mail-Client geschlossen.
Angreifer könnten Firefox, Firefox ESR und Thunderbird mit Schadcode attackieren. Dagegen abgesicherte Versionen stehen zum Download bereits.
Mozilla hat die Sicherheitslücke (CVE-2020-26950) mit dem Bedrohungsgrad "kritisch" eingestuft. In einer Warnmeldung stehen kaum Hinweise zur Lücke. Der Fehler soll sich in der Komponente MCallGetProperty opcode finden.
Das könnten Angreifer unter nicht näher beschriebenen Umständen ausnutzen, um einen Speicherfehler (use-after-free) zu provozieren. So etwas ist oft der Ausgangspunkt für die Ausführung von Schadcode.
Jetzt updaten
Die Lücke haben Sicherheitsforscher beim chinesischen Hacker-Wettbewerb Tianfu Cup 2020 entdeckt. Mozilla gibt an, die Schwachstelle in den Versionen Firefox 82.0.3, Firefox ESR 78.4.1 und Thunderbird 78.4.2 geschlossen zu haben.
(des)
