Mozilla stellt Patch für kritische Lücke in Firefox und Thunderbird bereit

Die Mozilla Foundation hat eine Schwachstelle vermeldet, die sowohl Firefox, als auch Thunderbird und die Unternehmensversion Firefox ESR betrifft.

Die Sicherheitslücke mit der Bezeichnung CVE-2020-26950 wird von Mozilla als «kritisch» eingestuft und nach Angaben von Mozilla mittlerweile geschlossen. Mozilla schreibt aber nicht viel darüber, ob und wie die Lücke bereits ausgenutzt wird. Im Security-Advisory heisst es lediglich, unter bestimmten Umständen könne der MCallGetProperty-Opcode mit nicht erfüllten Annahmen ausgegeben werden, was zu einem ausnutzbaren «Use- after-free»-Zustand führe.

Wie «Heise Online» berichtet, wurde die Sicherheitslücke von Sicherheitsforschern beim chinesischen Hacker-Wettbewerb Tianfu Cup 2020 entdeckt. 

Die Sicherheitslücke wurde in Firefox 82.0.3, Thunderbird 78.4.2 und der Unternehmensversion Firefox ESR 78.4.1 geschlossen. Wer noch nicht die aktuellste Version hat, sollte also manuell ein Update starten.

In Firefox klicken Sie dazu oben rechts auf das Hamburger-Menü und gehen zu Hilfe/Über Firefox. Im Mailclient ebenfalls: Gehen Sie mit der Maus zu den drei Querbalken, nun zu Hilfe/Über Thunderbird. In beiden Fällen erscheint die Nummer der aktuell installierten Version. Falls eine neuere bereitsteht, bietet sich hier die Installation an.