Mozilla 为其 Firefox 浏览器发布了一个紧急安全更新,以解决一个目前在野外被利用的关键漏洞。该漏洞被追踪为 CVE-2024-9680,CVSS 得分为 9.8,允许攻击者在用户系统上执行任意代码。
图片来源:安全客
“东部时间周二上午 8 点左右,我们收到反病毒公司 ESET 的警告,他们提醒我们在野外发现了一个 Firefox 漏洞,”Mozilla 在一份安全公告中说。“我们要衷心感谢 ESET 与我们分享他们的发现,正是这样的合作让网络对每个人来说都更加安全。
该漏洞存在于动画时间轴组件中,它是 Firefox Web Animations API 中的一个机制,用于控制和同步网页上的动画。更具体地说,它是一个 “释放后使用”(use-after-free)漏洞,这是一种内存损坏漏洞,当程序释放内存位置后继续使用该位置时就会出现这种漏洞。这样,攻击者就可以注入恶意代码并控制受影响的系统。
Mozilla 解释说:“ESET 发送给我们的样本包含一个完整的漏洞利用链,允许在用户计算机上远程执行代码。在收到样本的一个小时内,我们就召集了一个由安全、浏览器、编译器和平台工程师组成的团队,对该漏洞进行逆向工程,迫使它触发有效载荷,并了解它是如何工作的。”
尽管没有提前通知,而且漏洞利用非常复杂,但 Mozilla 还是在短短 25 小时内开发并发布了修复程序。这种快速反应凸显了漏洞的严重性,以及立即更新到最新版本火狐浏览器的重要性。
修补版本包括:
Firefox 131.0.2、Firefox ESR 128.3.1、Firefox ESR 115.16.1、Thunderbird 115.16、Thunderbird 128.3.1 和 Thunderbird 131.0.1。
令人担忧的是,Mozilla 已确认该漏洞正被积极利用来攻击 Tor 浏览器用户。不过,有关这些攻击的性质和攻击者身份的详细信息仍然很少。
转自安全客,原文链接:https://www.anquanke.com/post/id/300781
封面来源于网络,如有侵权请联系删除
