Mozilla a révélé qu’une faille de sécurité critique affectant Firefox et Firefox Extended Support Release (ESR) a été activement exploitée dans la nature.
La vulnérabilité, suivie comme CVE-2024-9680, a été décrite comme un bug d’utilisation après libération dans le composant de chronologie d’animation.
« Un attaquant a réussi à exécuter du code dans le processus de contenu en exploitant une utilisation après libération dans les chronologies d’animation », Mozilla dit dans un avis de mercredi.
« Nous avons reçu des rapports faisant état d’une vulnérabilité exploitée à l’état sauvage. »
Le chercheur en sécurité Damien Schaeffer de la société slovaque ESET a été reconnu pour avoir découvert et signalé la vulnérabilité.
Le problème a été résolu dans les versions suivantes du navigateur Web
- Firefox 131.0.2
- Firefox ESR 128.3.1, et
- Firefox ESR 115.16.1.
Il n’existe actuellement aucun détail sur la manière dont la vulnérabilité est exploitée ni sur l’identité de l’acteur menaçant derrière elle.
Cela dit, ces vulnérabilités d’exécution de code à distance pourraient être exploitées de plusieurs manières, soit dans le cadre d’une attaque de point d’eau ciblant des sites Web spécifiques, soit au moyen d’un téléchargement en voiture campagne qui incite les utilisateurs à visiter de faux sites Web.
Il est conseillé aux utilisateurs de mettre à jour vers la dernière version pour rester protégés contre les menaces actives.