[TLP:CLEAR] Firefox 131.0.2, ESR 128.3.1/115.16.1 opravuje kritickou a aktivně zneužívanou zranitelnost
Mozilla verzemi 131.0.2, 115.16.1 (ESR) a 128.3.1 (ESR) opravuje aktivně zneužívanou kritickou zranitelnost v produktu Firefox [1]. Z operačních systémů zranitelnost opravil Slackware verzí 15.0 [2], Gentoo má některé opravené verze dostupné jako stabilní a některé jako testovací [3], Red Hat má opravy k dispozici [4]. Ubuntu vydalo opravenou verzi 131.0.2+build1-0ubuntu0.20.04.1 pro Focal 20.04 LTS. Jammy 22.04 LTS a Noble 24.04 LTS používají snap, a tedy nejsou postižena [5]. Debian vydal opravy pro Firefox ve verzi 131.0.2-1, Firefox (ESR) ve vydání bullseye ve verzi 128.3.1esr-1~deb11u1 a bookworm ve verzi 128.3.1esr-1~deb12u1 [6].
Neautentizovanému vzdálenému útočníkovi je umožněno vykonat kód v procesu zpracování obsahu skrze zranitelnost typu use-after-free [1][7][8].
Zranitelnost se nachází v produktech:
- Firefox ve verzích <131.0.2
- Firefox ESR ve verzích <128.3.1
- Firefox ESR ve verzích <115.16.1
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-9680 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zranitelnost byla veřejně oznámena 9. 10. 2024.
Odkazy
- [1] https://www.mozilla.org/en-US/security/advisories/mfsa2024-51/
- [2] http://www.slackware.com/security/viewer.php?l=slackware-security&y=2024&m=slackware-security.385911
- [3] https://packages.gentoo.org/packages/www-client/firefox
- [4] https://access.redhat.com/security/cve/cve-2024-9680
- [5] https://ubuntu.com/security/CVE-2024-9680
- [6] https://security-tracker.debian.org/tracker/CVE-2024-9680
- [7] https://github.com/advisories/GHSA-hm3j-qgpw-pj98
- [8] https://www.bleepingcomputer.com/news/security/mozilla-fixes-firefox-zero-day-actively-exploited-in-attacks/
Publikovala Michaela Ručková dne 17. 10. 2024.
