Обновление Firefox исправляет эксплуатируемую уязвимость

Mozilla, компания, стоящая за браузером Firefox, в среду выпустила исправление для уязвимости нулевого дня, которая, по их словам, была использована. NIST определяет уязвимость как CVE-2024-9680 и ее статус как «ожидает анализа». Пользователям Firefox следует обновить браузер до последней версии и расширенной поддержки, чтобы защитить свои системы от потенциальных атак.

Из-за широкого использования Firefox эта проблема представляет значительный риск, особенно для систем, которые не были обновлены. Конкретные подробности о злоумышленниках или методах эксплуатации не были опубликованы, но возможные векторы атак включают скрытые загрузки или вредоносные веб-сайты.

Ошибка использования после освобождения памяти выявляет уязвимости в языках программирования, небезопасных для памяти

Атакующий обнаружил уязвимость use-after-free в Animation timelines, части API, которая отображает анимацию на веб-страницах. Ошибка use-after-free возникает, когда соединение в динамической памяти остается открытым после того, как оно уже используется. Она может возникнуть из-за кода, написанного на языке программирования, который не использует автоматическое управление памятью, например C или C++. Рекомендация правительства США отказаться от языков, небезопасных для памяти, является попыткой предотвратить этот тип уязвимости.

СМОТРЕТЬ: И Microsoft, и Apple выпустили важные исправления во вторник исправлений этого месяца.

«У нас есть сообщения о том, что эта уязвимость эксплуатируется в реальных условиях», — пишет Mozilla.

«В течение часа после получения образца мы собрали команду инженеров по безопасности, браузерам, компиляторам и платформам, чтобы провести обратную разработку эксплойта, заставить его активировать свою полезную нагрузку и понять, как он работает», — написал Том Риттер, инженер по безопасности Mozilla, в сообщении в блоге от 11 октября.

Риттер отметил, что Mozilla внедрила исправление всего за 25 часов.

«Наша команда продолжит анализировать эксплойт, чтобы найти дополнительные меры защиты, которые сделают развертывание эксплойтов для Firefox более сложным и редким», — написал он.

Это не первый случай кибератаки Mozilla. В 2015 году критическая уязвимость позволила злоумышленникам обойти политику браузера «одного источника» и получить доступ к локальным файлам. В 2019 году компания исправила уязвимость нулевого дня, которую злоумышленники активно использовали для захвата систем, обманывая пользователей и заставляя их посещать вредоносные сайты, что подчеркивает важность обновления последних версий браузера.

Однако за последний год Mozilla выпустила предупреждение только об одной критической уязвимости — уязвимости чтения или записи за пределами выделенного буфера обмена, которую Trend Micro обнаружила в марте.

В последние годы мишенью атак стали и другие веб-браузеры.

За последние годы киберпреступники использовали несколько других веб-браузеров:

Google Chrome: Из-за своего широкого использования Chrome стал частой целью. Например, в 2022 году Google исправил серьезную уязвимость нулевого дня, связанную с ошибкой Type Confusion в движке JavaScript V8, которая позволяла выполнять произвольный код. Microsoft Edge: В 2021 году ряд уязвимостей позволил злоумышленникам выполнять удаленный код, включая проблему, обнаруженную в компоненте WebRTC. Apple Safari: С 2021 года Apple исправила ряд уязвимостей нулевого дня, включая те, которые использовались для атаки на пользователей iPhone и Mac через WebKit, движок, на котором работает Safari.

Как применить патч Mozilla

Следующие версии включают патч:

Firefox 131.0.2. Firefox ESR 115.16.1. Firefox ESR 128.3.1.

Чтобы обновить браузер, перейдите в Настройки -> Справка -> О Firefox. После применения обновления снова откройте браузер.

Когда мы обратились за комментарием, Mozilla направила нас к своему блогу по безопасности.