A Mozilla revelou que uma falha crítica de segurança que afeta o Firefox e o Firefox Prolonged Help Launch (ESR) está sob exploração ativa.
A vulnerabilidade, rastreada como CVE-2024-9680 (pontuação CVSS: 9,8), foi descrita como um bug de uso após liberação no componente de linha do tempo de animação.
“Um invasor conseguiu executar o código no processo de conteúdo explorando um uso após liberação nos cronogramas de animação”, disse a Mozilla em um comunicado na quarta-feira.
“Tivemos relatos de que esta vulnerabilidade está sendo explorada em estado selvagem.”
O pesquisador de segurança Damien Schaeffer, da empresa eslovaca ESET, recebeu o crédito por descobrir e relatar a vulnerabilidade.
O problema foi resolvido nas seguintes versões do navegador da internet –
- Firefox 131.0.2
- Firefox ESR 128.3.1 e
- FirefoxESR 115.16.1.
Atualmente não há detalhes sobre como a vulnerabilidade está sendo explorada em ataques do mundo actual e a identidade dos atores da ameaça por trás deles.
Dito isso, essas vulnerabilidades de execução remota de código podem ser transformadas em armas de várias maneiras, seja como parte de um ataque watering gap direcionado a websites específicos ou por meio de uma campanha de obtain drive-by que engana os usuários para que visitem websites falsos.
Os usuários são aconselhados a atualizar para a versão mais recente para se manterem protegidos contra ameaças ativas.
