Уязвимость в Mozilla Firefox используется в кибератаках, патч уже готов

Mozilla выпустила внеплановые патчи, которые должны устранить опасную уязвимость нулевого дня. Поскольку брешь уже активно эксплуатируется в реальных кибератаках, пользователям настоятельно рекомендуют установить обновления браузера.

Проблема получила идентификатор CVE-2024-9680, по классу это типичная ошибка использования динамической памяти в процессе работы софта.

Обнаруживший брешь исследователь Дэмиен Шеффер из ESET утверждает, что проблема проявляется в тот момент, когда освобождённая память продолжает использоваться программой.

Этот вектор позволяет атакующим добавлять собственные вредоносные данные в определённые области памяти, что приводит к выполнению кода.

В частности, уязвимость затрагивает временные шкалы Animation — Web Animations API в Firefox, предназначенный для управления и синхронизации анимации на веб-страницах.

«Злоумышленники могли добиться выполнения кода в контексте процесса. Мы располагаем информацией об использовании этой уязвимости в реальных кибератаках», — пишет Mozilla в официальном уведомлении.

Соответствующий патч доступен в следующих версиях софта:

• Firefox 131.0.2.
• Firefox ESR 115.16.1.
• Firefox ESR 128.3.1.