Aktívne zneužívaná RCE zraniteľnosť Firefox

Spoločnosť Mozilla opravila vo svojom prehliadači kritickú aktívne zneužívanú zraniteľnosť. Jej zneužitím získajú útočníci možnosť vzdialene vykonávať kód.

Zraniteľné systémy:

• Firefox verzie staršie ako 131.0.2
• Firefox ESR verzie staršie ako 115.16.1 a 128.3.1

Opis činnosti:

CVE-2024-9680 (CVSS skóre 9,8)

Kritická aktívne zneužívaná zero-day zraniteľnosť v rozhraní AnimationTimeline prehliadačov Firefox a Firefox ESR, umožňuje útočníkom vzdialene vykonávať kód. Zraniteľnosť súvisí s možnosťou použitia dealokovaného miesta v pamäti.

AnimationTimeline je súčasťou Firefox Web Animations API a slúži na kontrolu a synchronizáciu animovaných prvkov na webstránkach.

Zraniteľnosť objavil výskumník Damien Schaeffer zo spoločnosti ESET.

Možné škody:

• Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia Firefox na verziu 131.0.2 a Firefox ESR na verziu 115.16.1 alebo 128.3.1.

Odkazy:

• https://www.bleepingcomputer.com/news/security/mozilla-fixes-firefox-zero-day-actively-exploited-in-attacks/
• https://thehackernews.com/2024/10/mozilla-warns-of-active-exploitation-in.html?m=1
• https://nvd.nist.gov/vuln/detail/CVE-2024-9680