Para evitar que a vulnerabilidade seja utilizada por alguém, a Mozilla corrigiu uma falha zero-day do Firefox.
A Mozilla emitiu uma atualização de segurança de emergência para o navegador Firefox para abordar uma vulnerabilidade crítica de uso após liberação (use-after-free) que atualmente é explorada em ataques.
Mozilla corrigiu uma falha zero-day do Firefox
A vulnerabilidade, rastreada como CVE-2024-9680 e descoberta pelo pesquisador da ESET Damien Schaeffer, é um uso após liberação em cronogramas de animação.
Esse tipo de falha ocorre quando a memória que foi liberada ainda é usada pelo programa, permitindo que agentes maliciosos adicionem seus próprios dados maliciosos à região da memória para executar a execução do código.
Os cronogramas de animação, parte da API de animações da Web do Firefox, são um mecanismo que controla e sincroniza animações em páginas da web.
“Um invasor conseguiu executar o código no processo de conteúdo explorando um uso após liberação em cronogramas de animação”, diz o boletim de segurança.
“Tivemos relatos de que essa vulnerabilidade foi explorada.”
A vulnerabilidade afeta o Firefox mais recente (versão padrão) e as versões de suporte estendido (ESR).
Correções foram disponibilizadas nas versões abaixo, para as quais os usuários são recomendados a atualizar imediatamente:
- Firefox 131.0.2
- Firefox ESR 115.16.1
- Firefox ESR 128.3.1
Dado o status de exploração ativa para CVE-2024-9680 e a falta de informações sobre como as pessoas são visadas, atualizar para as versões mais recentes é essencial.
Para atualizar para a versão mais recente, inicie o Firefox e vá para Configurações -> Ajuda -> Sobre o Firefox, e a atualização deve iniciar automaticamente. Será necessário reiniciar o programa para que as alterações sejam aplicadas.
Ao longo de 2024, até agora, a Mozilla teve que corrigir vulnerabilidades de dia zero no Firefox apenas uma vez.
Em 22 de março, a empresa de internet lançou atualizações de segurança para resolver CVE-2024-29943 e CVE-2024-29944, ambos problemas de gravidade crítica descobertos e demonstrados por Manfred Paul durante a competição de hackers Pwn2Own Vancouver 2024.
