A Mozilla reportou uma falha de segurança crítica que afeta o Firefox e a versão Extended Support Release (ESR), a qual está sendo ativamente explorada. A vulnerabilidade, identificada como CVE-2024-9680 (pontuação CVSS: 9.8), é um bug do tipo use-after-free no componente de linha do tempo de animação. Um atacante pode executar código no processo de conteúdo explorando essa falha.

O pesquisador de segurança Damien Schaeffer, da empresa ESET, descobriu e reportou a vulnerabilidade. A correção foi implementada nas seguintes versões do navegador:

• Firefox 131.0.2
• Firefox ESR 128.3.1
• Firefox ESR 115.16.1

Atualmente, não há detalhes sobre como a vulnerabilidade está sendo explorada em ataques reais ou sobre a identidade dos atacantes. Contudo, essas vulnerabilidades de execução remota de código podem ser utilizadas de várias formas, como em ataques de watering hole ou campanhas de download drive-by, que enganam usuários a visitarem sites falsos.

Os usuários são aconselhados a atualizar para a versão mais recente para se proteger contra ameaças ativas.

Fonte: thehackernews.com