Новости Лиса против GIF: Mozilla экстренно латает 0Day в Firefox

[NewsMaker]

Анимация-предатель ставит под удар системы пользователей.

---

---

Mozilla выпустила экстренное обновление безопасности для браузера Firefox , чтобы устранить критическую уязвимость типа use-after-free ( UAF ), которая уже используется в атаках.

Zero-day ошибка Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 9.8) была обнаружена специалистом ESET Дамьеном Шаффером и связана с механизмом управления анимацией на веб-страницах.

Use-after-free — это тип ошибки, при которой программа продолжает использовать уже освобождённую область памяти. Это позволяет злоумышленникам вносить в память вредоносные данные, что в конечном итоге может привести к выполнению произвольного кода. В данном случае уязвимость затрагивает API Web Animations, который контролирует анимации на веб-страницах.

По Для просмотра ссылки Войди или Зарегистрируйся из бюллетеня безопасности, киберпреступники смогли выполнить код в процессе содержимого браузера, воспользовавшись уязвимостью в механизме временных шкал анимации (Animation timelines). Уже зафиксированы случаи эксплуатации недостатка.

Уязвимость затрагивает последние версии браузера Firefox, включая как стандартные выпуски, так и версии с расширенной поддержкой (ESR). Для защиты пользователей были выпущены обновления в следующих версиях:

• Firefox 131.0.2;
• Firefox ESR 115.16.1;
• Firefox ESR 128.3.1.

В связи с тем, что уязвимость активно используется, рекомендуется незамедлительно обновить браузер до последней версии. Для этого необходимо открыть Firefox, перейти в «Настройки» -> «Справка» -> «О Firefox», после чего начнётся автоматическое обновление. Для завершения установки потребуется перезагрузить программу. Информация о том, как именно злоумышленники атакуют пользователей, пока отсутствует, поэтому обновление крайне важно.