Η Mozilla εξέδωσε μια επείγουσα ενημέρωση ασφαλείας για το πρόγραμμα περιήγησης Firefox για να αντιμετωπίσει μια κρίσιμη ευπάθεια χρήσης μετά τη δωρεάν χρήση που αυτή τη στιγμή εκμεταλλεύεται σε επιθέσεις.
Η ευπάθεια, η οποία παρακολουθείται ως CVE-2024-9680, και ανακαλύφθηκε από τον ερευνητή της ESET, Damien Schaeffer, είναι αχρησιμοποίητη στα χρονοδιαγράμματα Animation.
Αυτός ο τύπος ελαττώματος εμφανίζεται όταν η μνήμη που έχει ελευθερωθεί εξακολουθεί να χρησιμοποιείται από το πρόγραμμα, επιτρέποντας στους κακόβουλους παράγοντες να προσθέσουν τα δικά τους κακόβουλα δεδομένα στην περιοχή της μνήμης για να εκτελέσουν την εκτέλεση κώδικα.
Τα χρονοδιαγράμματα κινούμενων εικόνων, μέρος του Web Animations API του Firefox, είναι ένας μηχανισμός που ελέγχει και συγχρονίζει κινούμενα σχέδια σε ιστοσελίδες.
“Ένας εισβολέας μπόρεσε να επιτύχει την εκτέλεση κώδικα στη διαδικασία περιεχομένου εκμεταλλευόμενος τη χρήση μετά τη δωρεάν σε χρονοδιαγράμματα κινούμενων εικόνων.” διαβάζει το δελτίο ασφαλείας.
«Είχαμε αναφορές για εκμετάλλευση αυτής της ευπάθειας στη φύση».
Η ευπάθεια επηρεάζει την πιο πρόσφατη έκδοση του Firefox (τυπική έκδοση) και τις εκτεταμένες εκδόσεις υποστήριξης (ESR).
Διορθώσεις έχουν γίνει διαθέσιμες στις παρακάτω εκδόσεις, τις οποίες συνιστάται στους χρήστες να αναβαθμίσουν άμεσα σε:
- Firefox 131.0.2
- Firefox ESR 115.16.1
- Firefox ESR 128.3.1
Δεδομένης της κατάστασης ενεργής εκμετάλλευσης για το CVE-2024-9680 και της έλλειψης πληροφοριών σχετικά με τον τρόπο στόχευσης των ατόμων, η αναβάθμιση στις πιο πρόσφατες εκδόσεις είναι απαραίτητη.
Για αναβάθμιση στην πιο πρόσφατη έκδοση, εκκινήστε τον Firefox και μεταβείτε στο Ρυθμίσεις -> Βοήθεια -> Σχετικά με τον Firefoxκαι η ενημέρωση θα πρέπει να ξεκινήσει αυτόματα. Θα χρειαστεί επανεκκίνηση του προγράμματος για να εφαρμοστούν οι αλλαγές.
Πηγή: BleepingComputer
Η BleepingComputer επικοινώνησε τόσο με τη Mozilla όσο και με την ESET για να μάθει περισσότερα σχετικά με την ευπάθεια, τον τρόπο εκμετάλλευσής της και εναντίον ποιών, και θα ενημερώσουμε αυτήν την ανάρτηση όταν λάβουμε περισσότερες πληροφορίες.
Καθ’ όλη τη διάρκεια του 2024, μέχρι στιγμής, η Mozilla χρειάστηκε να διορθώσει τα τρωτά σημεία zero-day στον Firefox μόνο μία φορά.
Στις 22 Μαρτίου, η εταιρεία διαδικτύου κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση των CVE-2024-29943 και CVE-2024-29944, και τα δύο ζητήματα κρίσιμης σοβαρότητας που ανακαλύφθηκαν και επιδείχθηκαν από τον Manfred Paul κατά τη διάρκεια του διαγωνισμού hacking Pwn2Own Vancouver 2024.
VIA: bleepingcomputer.com
