Η Mozilla εξέδωσε μια επείγουσα ενημέρωση ασφαλείας για το πρόγραμμα περιήγησης Firefox για να αντιμετωπίσει μια κρίσιμη ευπάθεια χρήσης μετά τη δωρεάν χρήση που αυτή τη στιγμή εκμεταλλεύεται σε επιθέσεις.
Η ευπάθεια, η οποία παρακολουθείται ως CVE-2024-9680, και ανακαλύφθηκε από τον ερευνητή της ESET, Damien Schaeffer, είναι αχρησιμοποίητη στα χρονοδιαγράμματα Animation.
Αυτός ο τύπος ελαττώματος εμφανίζεται όταν η μνήμη που έχει ελευθερωθεί εξακολουθεί να χρησιμοποιείται από το πρόγραμμα, επιτρέποντας στους κακόβουλους παράγοντες να προσθέσουν τα δικά τους κακόβουλα δεδομένα στην περιοχή της μνήμης για να εκτελέσουν την εκτέλεση κώδικα.
Τα χρονοδιαγράμματα κινούμενων εικόνων, μέρος του Web Animations API του Firefox, είναι ένας μηχανισμός που ελέγχει και συγχρονίζει κινούμενα σχέδια σε ιστοσελίδες.
“Ένας εισβολέας μπόρεσε να επιτύχει την εκτέλεση κώδικα στη διαδικασία περιεχομένου εκμεταλλευόμενος τη χρήση μετά τη δωρεάν σε χρονοδιαγράμματα κινούμενων εικόνων.” διαβάζει το δελτίο ασφαλείας.
«Είχαμε αναφορές για εκμετάλλευση αυτής της ευπάθειας στη φύση».
Η ευπάθεια επηρεάζει την πιο πρόσφατη έκδοση του Firefox (τυπική έκδοση) και τις εκτεταμένες εκδόσεις υποστήριξης (ESR).
Διορθώσεις έχουν γίνει διαθέσιμες στις παρακάτω εκδόσεις, τις οποίες συνιστάται στους χρήστες να αναβαθμίσουν άμεσα σε:
Δεδομένης της κατάστασης ενεργής εκμετάλλευσης για το CVE-2024-9680 και της έλλειψης πληροφοριών σχετικά με τον τρόπο στόχευσης των ατόμων, η αναβάθμιση στις πιο πρόσφατες εκδόσεις είναι απαραίτητη.
Για αναβάθμιση στην πιο πρόσφατη έκδοση, εκκινήστε τον Firefox και μεταβείτε στο Ρυθμίσεις -> Βοήθεια -> Σχετικά με τον Firefoxκαι η ενημέρωση θα πρέπει να ξεκινήσει αυτόματα. Θα χρειαστεί επανεκκίνηση του προγράμματος για να εφαρμοστούν οι αλλαγές.
Η BleepingComputer επικοινώνησε τόσο με τη Mozilla όσο και με την ESET για να μάθει περισσότερα σχετικά με την ευπάθεια, τον τρόπο εκμετάλλευσής της και εναντίον ποιών, και θα ενημερώσουμε αυτήν την ανάρτηση όταν λάβουμε περισσότερες πληροφορίες.
Καθ’ όλη τη διάρκεια του 2024, μέχρι στιγμής, η Mozilla χρειάστηκε να διορθώσει τα τρωτά σημεία zero-day στον Firefox μόνο μία φορά.
Στις 22 Μαρτίου, η εταιρεία διαδικτύου κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση των CVE-2024-29943 και CVE-2024-29944, και τα δύο ζητήματα κρίσιμης σοβαρότητας που ανακαλύφθηκαν και επιδείχθηκαν από τον Manfred Paul κατά τη διάρκεια του διαγωνισμού hacking Pwn2Own Vancouver 2024.
VIA: bleepingcomputer.com
Ο Ισραηλινός υπουργός Άμυνας, Γιόαβ Γκάλαντ, εμφανίστηκε σήμερα, Τετάρτη 9 Οκτωβρίου, να λέει ότι τα…
Παράνομη κρίθηκε από τη Δικαιοσύνη η 24ωρη απεργία που είχε εξαγγείλει για αύριο, Πέμπτη 10…
Με ψήφους 8 έναντι 6 η Επιτροπή Δεοντολογίας του ΣΥΡΙΖΑ-ΠΣ, απέρριψε το αίτημα του Θέμη…
Ως μία πολύ καλή ευκαιρία για την Εθνική Ελλάδας για να διαπιστώσει το επίπεδο στο…
Επιβεβαιώθηκαν οι αποκλειστικές πληροφορίες του irafina.gr που ανέφεραν που αναμένεται να παραιτηθεί από τοπικός σύμβουλος…
Είναι εύκολο να ξεχάσουμε πόσο εξαρτόμαστε από τα οστά μας, αλλά αν έχετε ποτέ κάταγμα,…