聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞由 ESET 公司的研究员 Damien Schaeffer发现,是位于 Animation 时间线中的一个释放后使用 (UAF) 漏洞。当被释放的内存仍由程序所使用时就会发生这类漏洞,可导致恶意人员将恶意数据添加到内存区域,进行代码执行操作。Animation 时间线是 Firefox Web Animation API 的组成部分,用于控制和同步网页上的动画。
安全公告提到,“攻击者能够通过利用 Animation 时间线中的UAF漏洞,在内容流程中实现代码执行。我们已收到关于该漏洞遭在野利用的报告。”该漏洞影响最新版 Firefox(标准发布)和扩展支持发布 (ESR)。
如下版本已修复这些漏洞,建议用户立即升级:
Firefox 131.0.2
Firefox ESR 115.16.1
Firefox ESR 128.3.1
鉴于CVE-2024-9680已遭活跃利用,且遭攻击的人员情况尚不明确,因此用户应立即升级至最新版本。用户可启动火狐浏览器,去往“设置->帮助->关于Firefox”,更新应会自动启动。需要重启程序才能应用这些变更。
Mozilla 和ESET 公司尚未给出更多详情。
3月22日,Mozilla 公司发布安全更新,修复CVE-2024-29943和CVE-2024-29944。它们均由Manfred Paul 在2024温哥华 Pwn2Own大赛上发现和演示。
Mozilla 修复Pwn2Own大赛发现的两个 Firefox 0day
https://www.bleepingcomputer.com/news/security/mozilla-fixes-firefox-zero-day-actively-exploited-in-attacks/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~