Mozilla publie une mise à jour 131.0.2 de son navigateur Firefox. Une publication en urgence qui a pour objectif de corriger une unique vulnérabilité de sécurité. Référencée CVE-2024-9680, la faille est jugée critique.
La vulnérabilité est activement exploitée dans des attaques et des signalements ont eu lieu avant même la disponibilité du correctif. Il s'agit ainsi d'une vulnérabilité 0-day pour laquelle l'action correctrice doit être appliquée au plus vite.
Le cas échéant, la mise à jour salvatrice vers la dernière version de Firefox peut être sollicitée en se rendant dans le menu du navigateur, Aide et À propos de Firefox. La procédure sera automatique et un redémarrage du navigateur sera nécessaire.
Un signalement par un chercheur tiers
À souligner que les mises à jour Firefox ESR 128.3.1 et Firefox ESR 115.16.1 (ESR pour Extended Support Release) sont également proposées pour la correction de la vulnérabilité. Cette dernière a été découverte par un chercheur en sécurité d'ESET.
Sans trop de détails pour le moment, il est expliqué qu'un attaquant a pu exécuter du code dans le processus de contenu en exploitant une vulnérabilité de corruption de mémoire de type use-after-free (utilisation d'une donnée en mémoire après sa libération) dans Animation timeline.
AnimationTimeline est une interface de l'API Web Animations pour le contrôle et la synchronisation d'animations sur les pages web.