Dafür müsste ein Angreifer ein COOKIE-ECHO Chunk in einem SCTP-Paket modifizieren. Dies kann einer Warnmeldung von Mozilla zufolge zu einem Speicherfehler (use-after-free) führen. Mit genügend Aufwand könnte im Anschluss Schadcode auf Computern landen.
Mozilla hat die Schwachstelle (CVE-2020-16044) als "kritisch" eingestuft. Die Thunderbird-Version 78.6.1 ist abgesichert.
Quelle: heise Online Redaktion