Mozilla выпустила внеплановые патчи, которые должны устранить опасную уязвимость нулевого дня. Поскольку брешь уже активно эксплуатируется в реальных кибератаках, пользователям настоятельно рекомендуют установить обновления браузера.
Проблема получила идентификатор CVE-2024-9680, по классу это типичная ошибка использования динамической памяти в процессе работы софта.
Обнаруживший брешь исследователь Дэмиен Шеффер из ESET утверждает, что проблема проявляется в тот момент, когда освобождённая память продолжает использоваться программой.
Этот вектор позволяет атакующим добавлять собственные вредоносные данные в определённые области памяти, что приводит к выполнению кода.
В частности, уязвимость затрагивает временные шкалы Animation — Web Animations API в Firefox, предназначенный для управления и синхронизации анимации на веб-страницах.
«Злоумышленники могли добиться выполнения кода в контексте процесса. Мы располагаем информацией об использовании этой уязвимости в реальных кибератаках», — пишет Mozilla в официальном уведомлении.
Соответствующий патч доступен в следующих версиях софта:
- Firefox 131.0.2.
- Firefox ESR 115.16.1.
- Firefox ESR 128.3.1.
