فایرفاکس تحت حمله روز صفر، همین الان به‌روزرسانی کنید.

موزیلا فاش کرده است که یک نقص امنیتی مهم که بر فایرفاکس و نسخه پشتیبانی توسعه‌یافته فایرفاکس (ESR) تأثیر می‌گذارد، در سطح اینترنت مورد بهره‌برداری فعال قرار گرفته است.

این آسیب‌پذیری که به‌عنوان CVE-2024-9680 شناسایی می‌شود، به‌عنوان یک باگ بدون استفاده در مؤلفه جدول زمانی انیمیشن توصیف شده است.

موزیلا در مشاوره روز چهارشنبه ۹ اکتبر ۲۰۲۴ گفت[۱]: “یک مهاجم توانسته است با استفاده از جدول زمانی انیمیشن پس از استفاده رایگان به اجرای کد در فرآیند محتوا دست یابد.”

«ما گزارش‌هایی مبنی بر استفاده از این آسیب‌پذیری در سطح اینترنت داشته‌ایم.»

محقق امنیتی Damien Schaeffer از شرکت اسلواکی ESET مسئول کشف و گزارش این آسیب‌پذیری است.

این مشکل در این نسخه‌های مرورگر وب برطرف شده است :

• فایرفاکس ۱۳۱٫۰٫۲
• فایرفاکس ESR 128.3.1 و
• فایرفاکس ESR 115.16.1.

در حال حاضر هیچ جزئیاتی در مورد نحوه استفاده از این آسیب‌پذیری در حملات دنیای واقعی و هویت عوامل تهدید در پشت آن‌ها وجود ندارد.

گفته شد، چنین آسیب‌پذیری‌های اجرای کد از راه دور را می‌توان به روش‌های مختلفی مورداستفاده قرار داد، یا به‌عنوان بخشی از یک حمله چاله‌ای[۲] که وب‌سایت‌های خاص را هدف قرار می‌دهد یا با استفاده از یک کمپین دانلود درایو[۳] که کاربران را فریب می‌دهد تا از وب‌سایت‌های جعلی بازدید کنند.

به کاربران توصیه می‌شود برای محافظت در برابر تهدیدات فعال به آخرین نسخه به‌روزرسانی کنند.

  منابع

[۱] https://www.mozilla.org/en-US/security/advisories/mfsa2024-51

[۲] https://thehackernews.com/2024/09/watering-hole-attack-on-kurdish-sites.html

[۳] https://www.kaspersky.com/resource-center/definitions/drive-by-download

[۴] https://thehackernews.com/2024/10/mozilla-warns-of-active-exploitation-in.html