如果您正在使用Firefox浏览器,最好尽快更新到最新版本。 Mozilla 在 131.0.2 版本下发布了一个小更新,这是一个重要的更新,因为它修复了一个关键的安全漏洞,该漏洞允许在未打补丁的系统上执行恶意代码。 最糟糕的是,该漏洞在外部正被积极利用。
该安全问题是由 ESET 的 Damien Schaeffer 发现的。 这是一个"释放后使用"(use-after-free)类型的漏洞,当程序在某个内存位置被取消分配(释放)后继续访问该位置时就会出现这种漏洞。 然后,这部分内存可被重新用于其他数据,包括远程代码执行。
Mozilla 将影响的严重程度定为严重,这与意大利、荷兰和加拿大的国家网络安全中心发布的公告相吻合。 以下是 Mozilla 在其官方文档中对现已打补丁的安全问题的描述:
CVE-2024-9680: 动画时间线中的使用已释放。
攻击者可利用动画时间线中的使用后无漏洞,在内容进程中执行代码。 我们已收到该漏洞在野外被利用的报告。
Firefox 131.0.2、Firefox ESR 115.16.1(适用于目前不支持的 Windows 版本和其他平台)和 Firefox ESR 128.3.1(适用于支持的操作系统的另一个长期版本)中提供了该补丁。 如果您仍在使用 Firefox 131.0,请转至 帮助-关于Firefox 强制浏览器下载并安装最新的安全补丁。
Firefox 131 的发布说明可供参考。 最近的重大更新引入了标签预览、临时网站权限、改进的页面翻译等功能。