一、基本情况
Firefox浏览器(中文俗称为“火狐”),是一款由Mozilla基金会与开放源代码社区共同开发的免费开源跨平台浏览器,支持桌面版(Windows、Mac及Linux平台)、Android 版、iOS版等多种版本。Animation timelines(动画时间线/轴)是Firefox浏览器Web Animations API中的一个重要机制,它允许开发者精确地控制和同步网页上的动画。
二、漏洞描述
2024年10月10日,Mozilla 基金会发布紧急安全更新,修复了Firefox浏览器中的一个释放后重引用漏洞(CVE-2024-9680),其CVSS评分为9.8,目前该漏洞已发现被利用。
Mozilla Firefox和Firefox ESR在Animation timelines中存在UAF(Use-After-Free)漏洞,威胁者可能通过诱导用户访包含特定脚本或代码的恶意网页来利用该漏洞,成功利用可能导致浏览器崩溃、数据泄露或代码执行。
三、影响范围
Firefox < 131.0.2
Firefox ESR < 115.16.1
Firefox ESR < 128.3.1
四、修复建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
Firefox >= 131.0.2
Firefox ESR >= 115.16.1
Firefox ESR >= 128.3.1
