【已复现】Mozilla Firefox 释放后重用漏洞(CVE-2024-9680)安全风险通告第...

主要观点总结

本文介绍了Mozilla Firefox中存在的Animation timelines释放后重用漏洞（CVE-2024-9680），该漏洞允许远程攻击者在内容进程中实现代码执行。文章提供了漏洞的详细信息、影响范围、复现情况、处置建议和时间线。

关键观点总结

关键观点1: 漏洞概述

Mozilla Firefox存在Animation timelines释放后重用漏洞（CVE-2024-9680），影响版本包括Firefox < 131.0.2、Firefox ESR < 115.16.1和Firefox ESR < 128.3.1。该漏洞允许远程攻击者通过利用Animation timelines在内容进程中实现代码执行。

关键观点2: 漏洞影响

该漏洞的影响量级为千万级，奇安信将其评级为高危，CVSS 3.1分数为9.8。利用可能性高，POC状态已公开，已发现有人利用此漏洞进行攻击。

关键观点3: 技术细节和危害描述

该漏洞涉及Mozilla Firefox中的Animation timelines功能，远程攻击者可以通过利用该功能中的释放后使用漏洞实现代码执行。漏洞细节和POC已在互联网上公开。

关键观点4: 处置建议

官方已有可更新版本，建议受影响用户升级至最新版本Firefox >= 131.0.2、Firefox ESR >= 115.16.1和Firefox ESR >= 128.3.1。官方补丁下载地址：https://www.firefox.com.cn/。

正文

请到「今天看啥」查看全文

在野利用状态

已发现

EXP状态

未公开

技术细节状态

已公开

危害描述： 远程攻击者能够通过利用 Animation timelines 中的释放后使用漏洞在内容进程中实现代码执行。

0 1

漏洞详情

> > > >

影响组件

Mozilla Firefox 是一款广泛使用的开源网页浏览器，它由 Mozilla 基金会和其子公司 Mozilla Corporation 开发。Firefox 以其对网络标准的高兼容性、对用户隐私的重视以及对扩展和自定义的支持而受到用户的青睐。

Animation timelines 是一个用于控制CSS动画进度的CSS属性。它允许开发者指定一个时间线，这个时间线可以是默认的文档时间线，也可以是与滚动事件相关联的滚动进度时间线，或者是与元素可见性变化相关联的视图进度时间线。通过animation-timeline属性，可以创建更加丰富和互动的动画效果。

>

请到「今天看啥」查看全文