10月9日Mozilla基金会发布安全公告,紧急修补Firefox重大层级的零时差漏洞CVE-2024-9680,这项漏洞由安全企业ESET通报,存在于Animation组件的时间轴,为内存释放后再访问使用(Use After Free)漏洞,CVSS风险评分达到9.8(满分10分),该基金会发布Firefox 131.0.2,以及长期支持版(ESR)128.3.1、115.16.1修补。值得留意的是,已有攻击者试图利用这项漏洞。
针对这项漏洞带来的影响,Mozilla基金会指出,攻击者若是触发漏洞,就有机会借由Animation组件的时间轴,引发内存释放后再访问使用的现象,而能在特定处理程序执行程序代码。
他们特别提及,已接获漏洞被实际利用的通报。究竟黑客如何利用漏洞?该基金会并未进一步说明。
想要修补上述漏洞并不难,因为Firefox会自行下载新版程序,并在功能菜单提醒软件更新,用户应依照指示套用并重新启动浏览器,即可缓解这项漏洞。
