موزیلا روز صفر فایرفاکس (CVE-2024-9680) را که به طور فعال در حملات اکسپلویت می‌شود، وصله کرد

security news

موزیلا یک به‌روزرسانی امنیتی اضطراری با شناسه CVE-2024-9680 برای مرورگر فایرفاکس منتشر کرده تا آسیب‌پذیری حیاتی use-after-free (در تایم‌لاین‌های انیمیشن، بخشی از Web Animations API) را که در حال حاضر در حملات اکسپلویت می‌شود، برطرف کند.

این نوع نقص، هگامی رخ می‌دهد که حافظه آزاد شده همچنان توسط برنامه استفاده می‌شود و به نفوذگران اجازه می‌دهد تا داده‌های مخرب خود را به منطقه حافظه اضافه کنند و اجرای کد انجام دهند. در بولتن امنیتی آمده است: مهاجم توانسته است با استفاده از نقص use-after-free در جدول زمانی انیمیشن، به اجرای کد در فرآیند محتوا دست یابد. این آسیب‌پذیری آخرین نسخه فایرفاکس (نسخه استاندارد) و نسخه‌های پشتیبانی توسعه یافته (ESR) را تحت تاثیر قرار می‌دهد.

اصلاحیه‌ها در نسخه‌های Firefox 131.0.2،‌ Firefox ESR 115.16.1، Firefox ESR 128.3.1، در دسترس است و به کاربران توصیه شده فوراً به روزرسانی کنند. با توجه به وضعیت اکسپلویت فعال برای آسیب‌پذیری مذکور و فقدان هرگونه اطلاعات در مورد نحوه هدف قرار دادن افراد، ارتقاء به آخرین نسخه‌ها ضروری است. جهت ارتقاء به آخرین نسخه، فایرفاکس را باز کنید و به Settings -> Help -> About Firefox بروید و به روزرسانی باید به طور خودکار شروع شود. برای اعمال تغییرات به راه‌اندازی مجدد برنامه نیاز است.

https://www.bleepingcomputer.com/news/security/mozilla-fixes-firefox-zero-day-actively-exploited-in-attacks/
https://thehackernews.com/2024/10/mozilla-warns-of-active-exploitation-in.html