Firefox

Die Schwachstelle betrifft den Webbrowser Firefox von Mozilla – einschließlich der Variante Firefox ESR – sowie das verwandte E-Mail-Programm Thunderbird. Sie liegt in der Verarbeitung von Animation-Timelines, einem Bestandteil der Animationssteuerung beim Anzeigen von Webinhalten. Dort tritt ein sogenannter Use-after-Free auf: Das Programm greift auf einen Speicherbereich zu, der bereits freigegeben wurde. Ein Angreifer kann diesen Fehler gezielt ausnutzen, etwa indem er das Opfer auf eine präparierte Webseite lockt. Gelingt dies, kann er eigenen Code im sogenannten Content-Prozess ausführen – also in jenem Teil des Browsers, der Webinhalte darstellt. Damit erlangt der Angreifer Ausführungsrechte auf dem System des Nutzers. Besonders brisant: Diese Schwachstelle wird bereits aktiv in freier Wildbahn ausgenutzt. Betroffen sind Anwender, die eine verwundbare Version von Firefox, Firefox ESR oder Thunderbird einsetzen.