Mozilla宣布针对其 Firefox 浏览器发布安全修复程序,该修复程序也会影响密切相关的 Tor 浏览器。
新版本修复了一个据称正在被积极利用的严重安全漏洞。为了解决该漏洞,Mozilla 和 Tor 都建议用户将浏览器更新到最新版本。
启用自动更新的 Firefox 用户在打开浏览器后不久即可获得新版本。更新后,您的版本号将为 131.0.3 或更高。
其他用户可以按照 以下说明更新他们的浏览器:
- 点击 Firefox 工具栏右侧的菜单按钮(3条水平线),转到 帮助,然后选择 关于 Firefox/Tor 浏览器。将打开 关于 Mozilla Firefox/关于 Tor 浏览器 窗口。
- Firefox/Tor 浏览器将自动检查更新。如果有更新,则会下载。
- 下载完成后系统会提示您,然后单击 “重新启动”以更新 Firefox/Tor 浏览器。
要更新 Tor 浏览器,您必须先连接,否则将无法获取更新。Tor 的最新版本是 13.5.7。
该漏洞编号为CVE-2024-9680,允许攻击者在浏览器的内容进程(即加载和呈现 Web 内容的环境)内执行恶意代码。
关于此漏洞,Mozilla 表示:
“攻击者能够通过利用动画时间线中的释放后使用漏洞在内容进程中实现代码执行。我们已收到有关此漏洞被广泛利用的报告。”
释放后使用 (UAF) 是一种漏洞,是由于程序运行期间动态内存使用不当而导致的。如果程序在释放某个内存位置后没有清除指向该内存的指针,攻击者可以利用此错误来操纵程序。
Web 动画应用程序编程接口 (API) 的动画时间轴接口表示动画的时间轴。其中时间轴是用于同步目的的时间值的来源。
据称,利用该漏洞相对容易,不需要用户交互,并且可以通过网络执行。