Mozilla heeft een kritiek beveiligingslek in Firefox en Thunderbird verholpen waardoor een aanvaller het onderliggende systeem kan overnemen. De kwetsbaarheid werd afgelopen zaterdag tijdens de Tianfu Cup in China gedemonstreerd. Dit is een jaarlijks terugkerende hackwedstrijd waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden.
Onderzoekers 'S0rryMybad' en 'B1aN' slaagden erin om via een kwetsbaarheid in Firefox remote code execution op het onderliggende Windows 10-systeem te krijgen. Een aanval die met 40.000 dollar werd beloond. Gisterenavond, twee dagen na de demonstratie, kwam Mozilla met een beveiligingsupdate. Door een opcode van Firefox op een bepaalde manier te gebruiken was het mogelijk voor een aanvaller om een use-after-free te veroorzaken en zo code uit te voeren.
De kwetsbaarheid, aangeduid als CVE-2020-26950, is verholpen in Firefox 82.0.3, Firefox ESR 78.4.1 en Thunderbird 78.4.2. Updaten kan via de updatefunctie van de software, Mozilla.org of Thunderbird.net.
Deze posting is gelocked. Reageren is niet meer mogelijk.