Mozilla 修复已遭利用的 Firefox 0day漏洞
2024-10-11 02:16:0 Author: mp.weixin.qq.com(查看原文) 阅读量:17 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Mozilla 发布紧急安全更新,修复了 Firefox 浏览器中的一个严重的释放后使用漏洞 (CVE-2024-9680),目前该漏洞已遭利用。

该漏洞由 ESET 公司的研究员 Damien Schaeffer发现,是位于 Animation 时间线中的一个释放后使用 (UAF) 漏洞。当被释放的内存仍由程序所使用时就会发生这类漏洞,可导致恶意人员将恶意数据添加到内存区域,进行代码执行操作。Animation 时间线是 Firefox Web Animation API 的组成部分,用于控制和同步网页上的动画。

安全公告提到,“攻击者能够通过利用 Animation 时间线中的UAF漏洞,在内容流程中实现代码执行。我们已收到关于该漏洞遭在野利用的报告。”该漏洞影响最新版 Firefox(标准发布)和扩展支持发布 (ESR)。

如下版本已修复这些漏洞,建议用户立即升级:

  • Firefox 131.0.2

  • Firefox ESR 115.16.1

  • Firefox ESR 128.3.1

鉴于CVE-2024-9680已遭活跃利用,且遭攻击的人员情况尚不明确,因此用户应立即升级至最新版本。用户可启动火狐浏览器,去往“设置->帮助->关于Firefox”,更新应会自动启动。需要重启程序才能应用这些变更。

Mozilla 和ESET 公司尚未给出更多详情。

3月22日,Mozilla 公司发布安全更新,修复CVE-2024-29943和CVE-2024-29944。它们均由Manfred Paul 在2024温哥华 Pwn2Own大赛上发现和演示。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Mozilla 修复Pwn2Own大赛发现的两个 Firefox 0day

Mozilla 修复Firefox 漏洞,可导致RCE和沙箱逃逸

Mozilla 修复Firefox 浏览器的多个高危漏洞
Firefox 97.0.2 修复两个已遭利用的0day

原文链接

https://www.bleepingcomputer.com/news/security/mozilla-fixes-firefox-zero-day-actively-exploited-in-attacks/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247521019&idx=1&sn=9271b20273e3b193c059558ab4844fcf&chksm=ea94a391dde32a87f79666c661628c4452d6cdc35a07001450db6ed6c017dd177937fd6328ed&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh