Remote-Code-Execution-Lücke in Firefox, Firefox ESR und Thunderbird
Mozilla hat eine kritische Schwachstelle in seinen Webbrowsern und seinem Mail-Client geschlossen.
Angreifer könnten Firefox [1], Firefox ESR und Thunderbird mit Schadcode attackieren. Dagegen abgesicherte Versionen stehen zum Download bereits.
Mozilla hat die Sicherheitslücke (CVE-2020-26950) mit dem Bedrohungsgrad "kritisch" eingestuft. In einer Warnmeldung [2] stehen kaum Hinweise zur Lücke. Der Fehler soll sich in der Komponente MCallGetProperty opcode finden.
Das könnten Angreifer unter nicht näher beschriebenen Umständen ausnutzen, um einen Speicherfehler (use-after-free) zu provozieren. So etwas ist oft der Ausgangspunkt für die Ausführung von Schadcode.
Jetzt updaten
Die Lücke haben Sicherheitsforscher beim chinesischen Hacker-Wettbewerb Tianfu Cup 2020 entdeckt. Mozilla gibt an, die Schwachstelle in den Versionen Firefox 82.0.3, Firefox ESR 78.4.1 und Thunderbird 78.4.2 geschlossen zu haben.
(des [3])
URL dieses Artikels:
https://www.heise.de/-4953356
Links in diesem Artikel:
[1] https://www.heise.de/thema/Firefox
[2] https://www.mozilla.org/en-US/security/advisories/mfsa2020-49/#CVE-2020-26950
[3] mailto:des@heise.de
Copyright © 2020 Heise Medien