Mozilla telah mengungkapkan bahwa kelemahan keamanan kritis yang berdampak pada Firefox dan Firefox Extended Support Release (ESR) telah dieksploitasi secara aktif.
Kerentanannya, yang dilacak sebagai CVE-2024-9680, telah digambarkan sebagai bug penggunaan setelah bebas di komponen timeline Animasi.
“Seorang penyerang mampu mencapai eksekusi kode dalam proses konten dengan mengeksploitasi use-after-free dalam timeline Animasi,” kata Mozilla dalam sebuah penasehat pada hari Rabu.
“Kami mendapat laporan tentang kerentanan ini yang dieksploitasi di alam liar.”
Peneliti keamanan Damien Schaeffer dari perusahaan Slovakia ESET telah berjasa menemukan dan melaporkan kerentanan tersebut.
Masalah ini telah diatasi pada versi browser web berikut
- Firefox 131.0.2
- Firefox ESR 128.3.1, dan
- Firefox ESR 115.16.1.
Saat ini tidak ada rincian tentang bagaimana kerentanan dieksploitasi dalam serangan di dunia nyata dan identitas pelaku ancaman di baliknya.
Meskipun demikian, kerentanan eksekusi kode jarak jauh dapat dipersenjatai dengan beberapa cara, baik sebagai bagian dari serangan watering hole yang menargetkan situs web tertentu atau melalui kampanye pengunduhan drive-by yang mengelabui pengguna agar mengunjungi situs web palsu.
Pengguna disarankan untuk memperbarui ke versi terbaru agar tetap terlindungi dari ancaman aktif.