У браузері Firefox знайшли критичну вразливість — усі користувачі під загрозою

Mozilla випустила екстрене оновлення безпеки для браузера Firefox, щоб усунути критичну вразливість типу use-after-free (UAF), яка вже використовується в атаках.

Помилку нульового дня CVE-2024−9680 (оцінка CVSS: 9.8) виявив фахівець ESET Дам'єн Шаффер, і вона пов’язана з механізмом керування анімацією на веб-сторінках.

Use-after-free — це тип помилки, при якій програма продовжує використовувати вже звільнену область пам’яті. Це дозволяє зловмисникам вносити в пам’ять шкідливі дані, що в кінцевому підсумку може призвести до виконання довільного коду. У даному випадку вразливість зачіпає API Web Animations, який контролює анімації на веб-сторінках.

За даними з бюлетеня безпеки, кіберзлочинці змогли виконати код у процесі вмісту браузера, скориставшись вразливістю в механізмі часових шкал анімації (Animation timelines). Вже зафіксовано випадки експлуатації взразливості.

Вразливість зачіпає останні версії браузера Firefox, включаючи як стандартні випуски, так і версії з розширеною підтримкою (ESR).

У зв’язку з тим, що вразливість активно використовується, рекомендується негайно оновити браузер до останньої версії. Для цього необхідно відкрити Firefox, перейти в «Налаштування» -> «Довідка» -> «Про Firefox», після чого розпочнеться автоматичне оновлення. Для завершення встановлення потрібно буде перезавантажити програму. Інформація про те, як саме зловмисники атакують користувачів, поки відсутня, тому оновлення вкрай важливе.