Mozilla telah mengeluarkan pembaruan keamanan darurat untuk browser Firefox untuk mengatasi kerentanan kritis penggunaan setelah bebas yang saat ini dieksploitasi dalam serangan.
Kerentanan tersebut, dilacak sebagai CVE-2024-9680, dan ditemukan oleh peneliti ESET Damien Schaeffer, dapat digunakan setelah bebas dalam timeline Animasi.
Jenis cacat ini terjadi ketika memori yang telah dibebaskan masih digunakan oleh program, sehingga pelaku kejahatan dapat menambahkan data berbahaya mereka sendiri ke wilayah memori untuk melakukan eksekusi kode.
Garis waktu animasi, bagian dari Web Animations API Firefox, adalah mekanisme yang mengontrol dan menyinkronkan animasi di halaman web.
“Seorang penyerang dapat mencapai eksekusi kode dalam proses konten dengan mengeksploitasi penggunaan setelah bebas dalam garis waktu Animasi,” membaca buletin keamanan.
“Kami mendapat laporan tentang kerentanan ini yang dieksploitasi di alam liar.”
Kerentanan ini berdampak pada Firefox terbaru (rilis standar) dan rilis dukungan yang diperluas (ESR).
Perbaikan telah tersedia pada versi di bawah ini, dan pengguna disarankan untuk segera meningkatkannya:
- Firefox 131.0.2
- Firefox ESR 115.16.1
- Firefox ESR 128.3.1
Mengingat status eksploitasi aktif untuk CVE-2024-9680 dan kurangnya informasi tentang bagaimana orang menjadi sasaran, peningkatan versi ke versi terbaru sangatlah penting.
Untuk meningkatkan ke versi terbaru, luncurkan Firefox dan buka Pengaturan -> Bantuan -> Tentang Firefoxdan pembaruan akan dimulai secara otomatis. Program harus dimulai ulang agar perubahan dapat diterapkan.
Sumber: BleepingComputer
BleepingComputer telah menghubungi Mozilla dan ESET untuk mempelajari lebih lanjut tentang kerentanan tersebut, bagaimana kerentanan tersebut dieksploitasi, dan terhadap siapa, dan kami akan memperbarui postingan ini ketika kami menerima informasi lebih lanjut.
Sepanjang tahun 2024, sejauh ini Mozilla harus memperbaiki kerentanan zero-day di Firefox hanya sekali.
Pada tanggal 22 Maret, perusahaan internet tersebut merilis pembaruan keamanan untuk mengatasi CVE-2024-29943 dan CVE-2024-29944, keduanya merupakan masalah tingkat keparahan kritis yang ditemukan dan didemonstrasikan oleh Manfred Paul selama kompetisi peretasan Pwn2Own Vancouver 2024.
