Mozilla Firefox釋放后重用漏洞 (CVE-2024-9680) 在野利用通告
責編:gltian |2024-10-14 16:56:02| 漏洞概述 | |||
| 漏洞名稱 | Mozilla Firefox Animation timelines 釋放后重用漏洞 | ||
| 漏洞編號 | QVD-2024-42093,CVE-2024-9680 | ||
| 公開時間 | 2024-10-09 | 影響量級 | 千萬級 |
| 奇安信評級 | 高危 | CVSS 3.1分數 | 9.8 |
| 威脅類型 | 代碼執行 | 利用可能性 | 高 |
| POC狀態 | 未公開 | 在野利用狀態 | 已發現 |
| EXP狀態 | 未公開 | 技術細節狀態 | 未公開 |
| 危害描述:遠程攻擊者能夠通過利用 Animation timelines 中的釋放后使用漏洞在內容進程中實現代碼執行。 | |||
01?漏洞詳情
影響組件
Mozilla Firefox 是一款廣泛使用的開源網頁瀏覽器,它由 Mozilla 基金會和其子公司 Mozilla Corporation 開發。Firefox 以其對網絡標準的高兼容性、對用戶隱私的重視以及對擴展和自定義的支持而受到用戶的青睞。
Animation timelines 是一個用于控制CSS動畫進度的CSS屬性。它允許開發者指定一個時間線,這個時間線可以是默認的文檔時間線,也可以是與滾動事件相關聯的滾動進度時間線,或者是與元素可見性變化相關聯的視圖進度時間線。通過animation-timeline屬性,可以創建更加豐富和互動的動畫效果。
漏洞描述
近日,奇安信CERT監測到Mozilla發布公告稱Mozilla Firefox Animation timelines 釋放后重用漏洞(CVE-2024-9680)存在在野利用,遠程攻擊者能夠通過利用 Animation timelines 中的釋放后使用漏洞在內容進程中實現代碼執行。目前,此漏洞已發現在野利用。鑒于此漏洞影響范圍較大,建議客戶盡快做好自查及防護。
02?影響范圍
影響版本
Firefox < 131.0.2
Firefox ESR<115.16.1< p=””>
Firefox ESR<128.3.1< p=””>
其他受影響組件
無
03?處置建議
安全更新
目前官方已有可更新版本,建議受影響用戶升級至最新版本:
Firefox >= 131.0.2
Firefox ESR >= 115.16.1
Firefox ESR >= 128.3.1
官方補丁下載地址:
https://www.firefox.com.cn/
04?參考資料
[1]https://www.mozilla.org/en-US/security/advisories/mfsa2024-51/#CVE-2024-9680