Mozilla 发布紧急安全更新，修复了 Firefox 浏览器中的一个严重的释放后使用漏洞 (CVE-2024-9680)，目前该漏洞已遭利用。

该漏洞由 ESET 公司的研究员 Damien Schaeffer发现，是位于 Animation 时间线中的一个释放后使用 (UAF) 漏洞。当被释放的内存仍由程序所使用时就会发生这类漏洞，可导致恶意人员将恶意数据添加到内存区域，进行代码执行操作。Animation 时间线是 Firefox Web Animation API 的组成部分，用于控制和同步网页上的动画。

安全公告提到，“攻击者能够通过利用 Animation 时间线中的UAF漏洞，在内容流程中实现代码执行。我们已收到关于该漏洞遭在野利用的报告。”该漏洞影响最新版 Firefox（标准发布）和扩展支持发布 (ESR)。

如下版本已修复这些漏洞，建议用户立即升级：

鉴于CVE-2024-9680已遭活跃利用，且遭攻击的人员情况尚不明确，因此用户应立即升级至最新版本。用户可启动火狐浏览器，去往“设置->帮助->关于Firefox”，更新应会自动启动。需要重启程序才能应用这些变更。

Mozilla 和ESET 公司尚未给出更多详情。

3月22日，Mozilla 公司发布安全更新，修复CVE-2024-29943和CVE-2024-29944。它们均由Manfred Paul 在2024温哥华 Pwn2Own大赛上发现和演示。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~