Firefox 更新修补了被利用的漏洞

火狐浏览器背后的公司 Mozilla 于周三发布了针对他们称已被利用的零日漏洞的修复程序。 NIST 将漏洞列为CVE-2024-9680,其状态为“等待分析”。 Firefox 用户应更新至最新版本浏览器和扩展支持版本的发布,以保护其系统免受潜在攻击。

由于 Firefox 的广泛使用,此问题带来了重大风险,特别是对于尚未更新的系统。目前尚未公布有关攻击者或利用方法的具体细节,但可能的攻击媒介包括偷渡式下载或恶意网站。

释放后使用缺陷凸显了内存不安全编程语言中的漏洞

攻击者在动画时间轴中发现了释放后使用缺陷,动画时间轴是在网页上显示动画的 API 的一部分。当动态内存中的连接在释放后保持打开状态时,会发生释放后使用错误已经在使用。它可能源于用不使用自动内存管理的编程语言(例如 C 或 C++)编写的代码。美国政府建议远离是为了防止此类缺陷的尝试。

参见:微软和苹果都发布了在本月的补丁星期二。

Mozilla 写道:“我们收到了有关该漏洞在野外被利用的报告。”

Mozilla 安全工程师 Tom Ritter 在一份报告中写道:“收到样本后一小时内,我们召集了一个由安全、浏览器、编译器和平台工程师组成的团队,对漏洞进行逆向工程,迫使其触发有效负载,并了解其工作原理。”博客文章10 月 11 日。

Ritter 指出,Mozilla 在短短 25 小时内就部署了修复程序。

他写道:“我们的团队将继续分析该漏洞,以寻找额外的强化措施,使 Firefox 的漏洞部署变得更加困难和罕见。”

这并不是 Mozilla 第一次遭遇网络事件。 2015 年,一个严重缺陷使攻击者能够绕过浏览器的同源策略并访问本地文件。 2019 年,该公司修复了攻击者积极利用的一个零日漏洞,通过诱骗用户访问恶意网站来接管系统,强调了保持最新浏览器版本更新的重要性。

然而,Mozilla 发布了一份建议只是另一个严重漏洞去年,趋势科技在三月份发现了一个越界读写漏洞。

近年来其他网络浏览器也成为攻击目标

近年来,网络攻击者还利用了其他几种网络浏览器:

  • 谷歌浏览器:由于其广泛使用,Chrome 已成为常见目标。例如,2022 年,谷歌修复了与类型混乱错误在 V8 JavaScript 引擎中,它允许执行任意代码。
  • 微软边缘:2021 年,一系列漏洞允许攻击者进行远程代码执行,其中包括在WebRTC组件
  • 苹果浏览器:自 2021 年起,Apple 已修复一系列零日漏洞,包括通过 WebKit(运行 Safari 的引擎)针对 iPhone 和 Mac 用户的那些。

如何应用 Mozilla 补丁

以下版本包含该补丁:

  • 火狐浏览器 131.0.2。
  • 火狐ESR 115.16.1。
  • 火狐ESR 128.3.1。

要更新您的浏览器,请转到“设置”->“帮助”->“关于 Firefox”。应用更新后重新打开浏览器。

当联系到我们征求意见时,Mozilla 向我们指出他们的安全博客