上周,Firefox 131.0.2 版本开始推出,其中包含针对被利用的零日漏洞的补丁,不久之后,Tor 浏览器也进行了更新,修复了该漏洞。
该漏洞被追踪为 CVE-2024-9680,被利用的漏洞被描述为 Firefox 动画时间线中的一个高严重性释放后使用问题,可能导致任意代码的执行。
Mozilla 上周解释道:“攻击者可以通过利用动画时间线中的释放后使用漏洞在内容进程中实现代码执行。”
该非营利组织表示,已收到有关该漏洞被野外利用的报告,但没有提供此事进一步的信息。
网络安全公司 ESET 曾报告过 CVE-2024-9680,但该公司尚未回应SecurityWeek对观察到的攻击的询问。不过,Mozilla 周五透露,ESET 已向其发送了针对 CVE-2024-9680 的野外漏洞利用。
Mozilla 表示: “ESET 发送给我们的样本包含完整的漏洞利用链,允许在用户计算机上远程执行代码。”
该浏览器制造商立即召集了一个团队对该漏洞进行逆向工程并了解其工作原理,并能够在一天之内创建和发布补丁。
Mozilla 解释道:“在没有任何通知的情况下,只需要进行一些大量的逆向工程,我们就能够在 25 小时内发布修复程序。”
利用零信任 + AI360 保持领先
Mozilla 补充道:“虽然我们已经解决了 Firefox 中的漏洞,但我们的团队将继续分析漏洞,以找到额外的强化措施,使针对 Firefox 的漏洞利用变得更加困难和罕见。同样重要的是要记住,这类漏洞利用并非 Firefox 独有。”
CVE-2024-9680 的补丁包含在 Firefox 版本 131.0.2 和 Firefox ESR 版本 128.3.1 和 115.16.1 中,目前正在 Tor 浏览器版本 13.5.7 中推出。
Tor 的维护人员解释说: “利用此漏洞,攻击者可以控制 Tor 浏览器,但可能不会在 Tails 中将你解除匿名。”
9 月底,Tor 项目与专注于安全的操作系统 Tails 合并。
*更新:在 Tor 项目更新其博客文章后,本文进行了修改,删除了错误的陈述“Mozilla 意识到这次攻击正在野外针对 Tor 浏览器用户进行”。