Von der Mozilla Foundation wird auf zwei als ‚kritisch‘ eingestufte Sicherheitslücken in den aktuellen Versionen ihres Webbrowsers Firefox hingewiesen.
Über die Zero-Day-Lücken
Beide Schwachstellen gehören zum sogenannten ‚use-after-free‘-Typus und können dazu missbraucht werden, untergeschobenen Code eines Angreifers im Browser auf dem Rechner des Benutzers auszuführen.
In einer Mitteilung von Mozilla heißt es dazu, man beobachte schon Angriffe auf den Browser, die diese Lücken ausnutzen. Daher sollten die Benutzer möglichst umgehend ein vom Hersteller bereit gestelltes Update einspielen.
Für die zwei Lücken wurden die CVE-Nummern 2020-6819 und 2020-6820 vergeben. In der Version 74.0.1 des aktuellen Firefox-Browsers beziehungsweise in der Version 68.6.1 der ESR-Variante von Firefox sind beide Schwachstellen in allen Betriebssystemen (Windows, macOS und Linux) schon abgedichtet.
Die Entdecker der Lücken
Gefunden hatten die Lücken Francisco Alonso von revskills und Javier Marcos von JMPSec. Die Probleme betreffen mögliche Race Conditions bei Nutzung des nsDocShell-Destruktors oder beim Umgang mit einem ReadableStream.
Auf Twitter weist Alonso auch darauf hin, dass möglicherweise auch andere Browser davon betroffen sind. Aktuell gibt es noch keine weitergehenden Details zu den zwei Schwachstellen, die sollen aber kurzfristig folgen. Schon im Januar dieses Jahres gab es eine kritische Lücke in Mozillas Firefox.