聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Mozilla 发布紧急安全更新,修复了 Firefox 浏览器中的一个严重的释放后使用漏洞 (CVE-2024-9680),目前该漏洞已遭利用。
该漏洞由 ESET 公司的研究员 Damien Schaeffer发现,是位于 Animation 时间线中的一个释放后使用 (UAF) 漏洞。当被释放的内存仍由程序所使用时就会发生这类漏洞,可导致恶意人员将恶意数据添加到内存区域,进行代码执行操作。Animation 时间线是 Firefox Web Animation API 的组成部分,用于控制和同步网页上的动画。
安全公告提到,“攻击者能够通过利用 Animation 时间线中的UAF漏洞,在内容流程中实现代码执行。我们已收到关于该漏洞遭在野利用的报告。”该漏洞影响最新版 Firefox(标准发布)和扩展支持发布 (ESR)。
如下版本已修复这些漏洞,建议用户立即升级:
Firefox 131.0.2
Firefox ESR 115.16.1
Firefox ESR 128.3.1
鉴于CVE-2024-9680已遭活跃利用,且遭攻击的人员情况尚不明确,因此用户应立即升级至最新版本。用户可启动火狐浏览器,去往“设置->帮助->关于Firefox”,更新应会自动启动。需要重启程序才能应用这些变更。
Mozilla 和ESET 公司尚未给出更多详情。
3月22日,Mozilla 公司发布安全更新,修复CVE-2024-29943和CVE-2024-29944。它们均由Manfred Paul 在2024温哥华 Pwn2Own大赛上发现和演示。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
Mozilla 修复Pwn2Own大赛发现的两个 Firefox 0day
Mozilla 修复Firefox 漏洞,可导致RCE和沙箱逃逸
Mozilla 修复Firefox 浏览器的多个高危漏洞
Firefox 97.0.2 修复两个已遭利用的0day
原文链接
https://www.bleepingcomputer.com/news/security/mozilla-fixes-firefox-zero-day-actively-exploited-in-attacks/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
3487
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
