В Firefox обнаружили и исправили уязвимость нулевого дня

Разработчики Mozilla выпустили экстренный патч для браузера Firefox. Исправление устранило критическую уязвимость типа use-after-free, которая уже использовалась хакерами в атаках.

Уязвимость получила идентификатор CVE-2024-9680 и была обнаружена специалистом компании ESET Дэмиеном Шеффером (Damien Schaeffer). Баг представляет собой проблему use-after-free в Animation timelines.

Animation timelines — это часть Firefox Web Animations API, и этот механизм отвечает за управление анимацией и ее синхронизацию на веб-страницах.

«Злоумышленник мог добиться выполнения произвольного кода в процессе работы с контентом, воспользовавшись use-after-free уязвимостью в Animation timelines, — гласит бюллетень безопасности Mozilla. — Нас уведомили о том, что эта уязвимость уже применяется на практике».

Сообщается, что CVE-2024-9680 затрагивает последнюю версию Firefox (standard release), а также ESR-релизы. Патч уже доступен в следующих версиях браузера, и пользователям рекомендуется установить обновление как можно скорее: Firefox 131.0.2, Firefox ESR 115.16.1 и Firefox ESR 128.3.1.

Никакой более детальной информации ни о само баге, ни об атаках, в которых он использовался, пока нет. Очевидно, разработчики хотят дать пользователям больше времени на установку исправлений.