A Mozilla alertou sobre uma grave falha de segurança que afeta o Firefox e a versão Extended Support Release (ESR), a qual já está sendo ativamente explorada por cibercriminosos.
A vulnerabilidade, identificada como CVE-2024-9680, trata-se de um use-after-free no componente de linha do tempo Animation. Esse tipo de falha ocorre quando o sistema tenta acessar memória já liberada, o que pode ser explorado para a execução de código malicioso.
“Um invasor conseguiu executar código no processo de conteúdo ao explorar essa falha nas linhas de tempo do Animation,” afirmou a Mozilla em um comunicado divulgado na quarta-feira. "Temos relatos de que a vulnerabilidade está sendo explorada ativamente."
O pesquisador de segurança Damien Schaeffer, da ESET, foi responsável por descobrir e relatar o problema à Mozilla.
A falha foi corrigida nas seguintes versões do navegador:
Firefox 131.0.2
Firefox ESR 128.3.1
Firefox ESR 115.16.1
Até o momento, não há informações detalhadas sobre como a vulnerabilidade está sendo utilizada nos ataques ou sobre a identidade dos agentes envolvidos. No entanto, falhas que permitem a execução remota de código, como esta, são frequentemente usadas em ataques sofisticados, como:
Watering hole: onde sites legítimos são comprometidos para infectar visitantes.
Drive-by downloads: ataques que induzem usuários a baixar malware ao visitar sites falsos.
Recomendação: Todos os usuários devem atualizar imediatamente para a versão mais recente do Firefox para se protegerem contra essas ameaças em andamento.
Via - THN
Comments