Remote-Code-Execution-Lücke in Firefox, Firefox ESR und Thunderbird
Mozilla hat eine kritische Schwachstelle in seinen Webbrowsern und seinem Mail-Client geschlossen.
Angreifer könnten Firefox [1], Firefox ESR und Thunderbird mit Schadcode attackieren. Dagegen abgesicherte Versionen stehen zum Download bereits.
Mozilla hat die Sicherheitslücke (CVE-2020-26950) mit dem Bedrohungsgrad "kritisch" eingestuft. In einer Warnmeldung [2] stehen kaum Hinweise zur Lücke. Der Fehler soll sich in der Komponente MCallGetProperty opcode finden.
Das könnten Angreifer unter nicht näher beschriebenen Umständen ausnutzen, um einen Speicherfehler (use-after-free) zu provozieren. So etwas ist oft der Ausgangspunkt für die Ausführung von Schadcode.
Jetzt updaten
Die Lücke haben Sicherheitsforscher beim chinesischen Hacker-Wettbewerb Tianfu Cup 2020 entdeckt. Mozilla gibt an, die Schwachstelle in den Versionen Firefox 82.0.3, Firefox ESR 78.4.1 und Thunderbird 78.4.2 geschlossen zu haben.
[3](des [4])
URL dieses Artikels:
https://www.heise.de/-4953356
Links in diesem Artikel:
[1] https://www.heise.de/thema/Firefox
[2] https://www.mozilla.org/en-US/security/advisories/mfsa2020-49/#CVE-2020-26950
[3] https://pro.heise.de/security/?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[4] mailto:des@heise.de
Copyright © 2020 Heise Medien