Mozilla, Firefox ve Firefox Genişletilmiş Destek Sürümünü (ESR) etkileyen kritik bir güvenlik açığının aktif olarak istismar edildiğini ortaya çıkardı.
CVE-2024-9680 olarak takip edilen güvenlik açığı, Animasyon zaman çizelgesi bileşeninde serbest kullanımdan sonra kullanılabilen bir hata olarak tanımlandı.
Mozilla Çarşamba günkü bir danışma belgesinde, “Bir saldırgan, Animasyon zaman çizelgelerindeki ücretsiz kullanımdan yararlanarak içerik sürecinde kod yürütmeyi başardı.” dedi.
“Bu güvenlik açığının vahşi ortamda istismar edildiğine dair raporlar aldık.”
Slovakyalı ESET şirketinden güvenlik araştırmacısı Damien Schaeffer, güvenlik açığını keşfetme ve bildirme konusunda itibar kazandı.
Sorun, web tarayıcısının aşağıdaki sürümlerinde giderilmiştir.
- Firefox131.0.2
- Firefox ESR 128.3.1 ve
- Firefox ESR 115.16.1.
Şu anda bu güvenlik açığından nasıl yararlanıldığına ve bunların arkasındaki tehdit aktörünün kimliğine ilişkin hiçbir ayrıntı bulunmuyor.
Bununla birlikte, bu tür uzaktan kod yürütme güvenlik açıkları, belirli web sitelerini hedef alan bir sulama deliği saldırısının parçası olarak veya kullanıcıları sahte web sitelerini ziyaret etmeye kandıran bir arabadan indirme kampanyası aracılığıyla çeşitli şekillerde silah haline getirilebilir.
Aktif tehditlere karşı korunmak için kullanıcıların en son sürüme güncelleme yapması önerilir.