Mozilla nemrégiben helyrehozott egy jelentős sérülékenységet a Firefox böngészőjében, amelyet már aktívan kihasználtak. A probléma egy "use-after-free" típusú sebezhetőség az animációs idővonalak kezelésében (CVE-2024-9680), amely lehetőséget ad a támadóknak a távoli kódfuttatásra (RCE). Ez azt jelenti, hogy a hackerek képesek lehetnek rosszindulatú szoftverek telepítésére a sérülékeny eszközökre, sőt, akár teljesen átvehetik azok irányítását.
A Mozilla rövid biztonsági közleményében megerősítette, hogy már jelentések érkeztek a hiba kihasználásáról, ami semmi jót nem ígér a felhasználóknak.
Mind a Firefox, mind a Firefox Extended Support Release (ESR) verziói érintettek, így a felhasználóknak ajánlott azonnal frissíteniük a következő verziókra:
- Firefox 131.0.2
- Firefox ESR 128.3.1
- Firefox ESR 115.16.1
Jelenleg nincs információ arról, hogy ki és hogyan használja ki a hibát, de a hasonló sérülékenységeket gyakran a watering hole támadásokban vagy drive-by letöltési kampányokban. Ezekben a támadók rosszindulatú kódot helyeznek el webhelyeken vagy hirdetésekben, és a felhasználók észrevétlenül töltenek le káros programokat a látogatás során.
