Mozilla ha revelado que una falla de seguridad crítica que afecta a Firefox y la versión de soporte extendido (ESR) de Firefox ha sido explotada activamente en la naturaleza.
La vulnerabilidad, rastreada como CVE-2024-9680, se ha descrito como un error de uso después de la liberación en el componente de la línea de tiempo de animación.
“Un atacante pudo lograr la ejecución de código en el proceso de contenido explotando un uso después de la liberación en las líneas de tiempo de animación”, Mozilla dicho en un aviso del miércoles.
“Hemos recibido informes de que esta vulnerabilidad está siendo explotada en la naturaleza”.
Al investigador de seguridad Damien Schaeffer de la empresa eslovaca ESET se le atribuye el descubrimiento y el informe de la vulnerabilidad.
El problema se ha solucionado en las siguientes versiones del navegador web.
- Firefox 131.0.2
- Firefox ESR 128.3.1 y
- FirefoxESR 115.16.1.
Actualmente no hay detalles sobre cómo se explota la vulnerabilidad en ataques del mundo real y la identidad de los actores de amenazas detrás de ellos.
Dicho esto, estas vulnerabilidades de ejecución remota de código podrían utilizarse como armas de varias maneras, ya sea como parte de un ataque de abrevadero dirigido a sitios web específicos o mediante un descarga drive-by campaña que engaña a los usuarios para que visiten sitios web falsos.
Se recomienda a los usuarios que actualicen a la última versión para mantenerse protegidos contra amenazas activas.