火狐浏览器更新修补被利用的漏洞
火狐浏览器的开发商 Mozilla 周三发布了针对零日漏洞的修复程序,据称该漏洞已被利用。NIST 将该漏洞列为CVE-2024-9680,其状态为“等待分析”。火狐用户应更新至最新版本的浏览器和扩展支持版本,以保护其系统免受潜在攻击。
由于 Firefox 的使用范围广泛,该问题带来了重大风险,尤其是对于尚未更新的系统。目前尚未公布有关攻击者或利用方法的具体细节,但可能的攻击媒介包括驱动下载或恶意网站。
释放后使用漏洞凸显了内存不安全编程语言的漏洞
攻击者在动画时间轴中发现了释放后使用漏洞,动画时间轴是显示网页动画的 API 的一部分。当动态内存中的连接在使用后保持打开状态时,就会发生释放后使用漏洞。它可能源于使用不使用自动内存管理的编程语言(如 C 或 C++)编写的代码。美国政府建议远离内存不安全的语言,就是为了防止这种类型的漏洞。
查看:微软和苹果都在本月的补丁星期二发布了重要修复。
Mozilla 写道:“我们收到了有关此漏洞正在被野外利用的报告。”
Mozilla 安全工程师 Tom Ritter 在 10 月 11 日的一篇博客文章中写道:“在收到样本后一小时内,我们召集了一个由安全、浏览器、编译器和平台工程师组成的团队,对该漏洞进行逆向工程,强制其触发有效载荷,并了解其工作原理。 ”
里特指出,Mozilla 仅用 25 小时就部署了修复程序。
他写道:“我们的团队将继续分析该漏洞,以找到额外的强化措施,使 Firefox 漏洞的部署变得更加困难和罕见。”
这并不是 Mozilla 第一次遭遇网络攻击。2015 年,一个严重漏洞使攻击者能够绕过浏览器的同源策略并访问本地文件。2019 年,该公司修补了一个零日漏洞,攻击者正在积极利用该漏洞通过诱骗用户访问恶意网站来接管系统,这凸显了及时更新浏览器版本的重要性。
然而,Mozilla 在去年仅针对另一个严重漏洞发布了公告,即趋势科技 (Trend Micro) 于 3 月份发现的越界读写漏洞。