Firefox 74.0.1 und Firefox ESR 68.6.1 stopfen zwei 0-Day-Lücken

Meldung von doelf, Sonntag der 05.04.2020, 01:53:21 Uhr

In den Firefox-Versionen 74.0 und ESR 68.6 stecken zwei kritische 0-Day-Lücken, die bereits angegriffen werden. Als Abhilfe liegen der Firefox 74.0.1 sowie der Firefox 68.6.1 mit erweitertem Support-Zeitraum (ESR) zum Download bereit. Ein unverzügliches Update ist anzuraten!

Bei den Fehlern handelt es sich um zwei Zugriffe auf bereits gelöschte Objekte (Use-after-free), die Angreifer für eine Race Condition, sozusagen ein Wettrennen um den Zugriff auf bestimmte Ressourcen, ausnutzen können. Ist der Angreifer schneller, kann er die Kontrolle über den Webbrowser erlangen. Einer der Fehler betrifft den nsDocShell-Destructor (CVE-2020-6819), der zweite den Umgang mit ReadableStream (CVE-2020-6820). Entdeckt wurden die kritischen Schwachstellen von den Sicherheitsexperten Francisco Alonso und Javier Marcos. Auf Twitter lobte Alonso Mozillas schnelle Reaktion und deutete an, dass auch andere Browser betroffen sind:

There is still lots of work to do and more details to be published (including other browsers). Stay tuned.

Download:

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]