A Mozilla revelou que uma falha crítica de segurança que afeta o Firefox e o Firefox Extended Support Release (ESR) tornou-se sujeito a uma exploração ativa em estado selvagem.
A vulnerabilidade, rastreada como CVE-2024-9680, é descrita como um bug na seção use-after-free da linha do tempo da animação.
“Um invasor conseguiu executar código no processo de conteúdo explorando cronogramas de animação fora do freeware”, disse a Mozilla em um comunicado na quarta-feira.
“Tivemos relatos de que esta fraqueza está sendo explorada à solta.”
O pesquisador de segurança Damien Schaeffer, da empresa eslovaca ESET, recebeu o crédito por descobrir e relatar a vulnerabilidade.
O problema foi resolvido em versões subsequentes do navegador da web
- Firefox 131.0.2
- Firefox ESR 128.3.1 e
- FirefoxESR 115.16.1.
Atualmente não há informações sobre como as vulnerabilidades são exploradas e quem é o autor da ameaça por trás delas.
Dito isso, as vulnerabilidades de execução remota de código podem ser exploradas de várias maneiras, como parte de um ataque watering hole direcionado a sites específicos ou por meio de uma campanha de download drive-by que engana os usuários para que visitem sites falsos.
Os usuários são aconselhados a atualizar para a versão mais recente para se manterem protegidos contra ameaças ativas.
