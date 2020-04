Die Mozilla Foundation weist auf zwei als 'kritisch' eingestufte Sicherheitslücken in den aktuellen Versionen ihres Webbrowsers Firefox hin. Die beiden Schwachstellen gehören zum sogenannten 'use-after-free'-Typ und können dazu genutzt werden, untergeschobenen Code eines Angreifers im Browser auf dem System des Benutzers auszuführen.

In der Mitteilung heißt es, man beobachte bereits Angriffe auf Firefox, die diese Lücken ausnutzen – deshalb sollten Anwender schnellstmöglich ein Update einspielen. Die beiden Lücken erhalten die CVE-Nummern 2020-6819 und 2020-6820. In Version 74.0.1 des aktuellen Firefox-Browsers beziehungsweise in Version 68.6.1 des ESR-Zweigs von Firefox sind die Schwachstellen abgedichtet (in allen Betriebssystemen: Windows, macOS und Linux).

Gemeldet hatten die Lücken Francisco Alonso von revskills und Javier Marcos von JMPSec. Sie betreffen mögliche Race Conditions bei Nutzung des nsDocShell-Destruktors und beim Umgang mit einem ReadableStream. Auf Twitter weist Alonso darauf hin, dass womöglich auch andere Browser betroffen sind. Derzeit gibt es noch keine weitergehenden Details zu den Schwachstellen, sie sollen aber demnächst folgen. Bereits im Januar dieses Jahres gab es eine kritische Lücke in Firefox.

(tiw)