Firefox and Thunderbird

Die Schwachstelle betrifft den Webbrowser Firefox und das E-Mail-Programm Thunderbird von Mozilla. Ursache ist die fehlerhafte Verarbeitung von onreadystatechange-Ereignissen – Rückmeldungen, mit denen eine Webseite den Ladezustand ihrer Inhalte signalisiert – in Verbindung mit dem Neuladen einer Seite. Durch dieses Zusammenspiel kann das Programm auf einen nicht zugeordneten Speicherbereich zugreifen und versuchen, dort liegende Daten als Programmcode auszuführen. Ein Angreifer aus der Ferne kann den Fehler über eine eigens präparierte Webseite auslösen: Ruft das Opfer diese Seite auf, stürzt die Anwendung ab (Denial of Service) oder es lässt sich unter Umständen sogar beliebiger Schadcode ausführen. Betroffen sind sowohl die regulären Ausgaben als auch die Versionen mit verlängertem Support (ESR). Da es genügt, eine manipulierte Seite anzuzeigen, wird der Angriff durch bloßes Surfen oder das Anzeigen von Inhalten ausgelöst.