Mozilla는 현재 공격에 악용되고 있는 중요한 use-after-free 취약점을 해결하기 위해 Firefox 브라우저에 대한 긴급 보안 업데이트를 발표했습니다.
CVE-2024-9680으로 추적되고 ESET 연구원 Damien Schaeffer가 발견한 이 취약점은 애니메이션 타임라인의 use-after-free입니다.
이러한 유형의 결함은 해제된 메모리가 프로그램에서 계속 사용될 때 발생하며, 이를 통해 악의적인 행위자가 자신의 악성 데이터를 메모리 영역에 추가하여 코드를 실행할 수 있습니다.
Firefox 웹 애니메이션 API의 일부인 애니메이션 타임라인은 웹 페이지의 애니메이션을 제어하고 동기화하는 메커니즘입니다.
보안 게시판에는 “공격자는 애니메이션 타임라인의 use-after-free를 악용하여 콘텐츠 프로세스에서 코드 실행을 달성할 수 있었습니다.”라고 적혀 있습니다.
“우리는 이 취약점이 실제로 악용되고 있다는 보고를 받았습니다.”
이 취약점은 최신 Firefox(표준 릴리스) 및 확장 지원 릴리스(ESR)에 영향을 미칩니다.
아래 버전에서 수정 사항이 제공되었으며 사용자는 즉시 업그레이드하는 것이 좋습니다.
- 파이어폭스 131.0.2
- 파이어폭스 ESR 115.16.1
- 파이어폭스 ESR 128.3.1
CVE-2024-9680에 대한 활성 악용 상태와 대상이 되는 방법에 대한 정보가 부족하다는 점을 고려하면 최신 버전으로 업그레이드하는 것이 필수적입니다.
최신 버전으로 업그레이드하려면 Firefox를 실행하고 다음으로 이동하세요. 설정 -> 도움말 -> Firefox 정보업데이트가 자동으로 시작됩니다. 변경 사항을 적용하려면 프로그램을 다시 시작해야 합니다.
출처: BleepingComputer
BleepingComputer는 Mozilla와 ESET에 연락하여 취약점, 취약점이 어떻게 악용되고 있는지, 누구를 대상으로 하는지 자세히 알아보고 있으며, 추가 정보를 받으면 이 게시물을 업데이트할 것입니다.
2024년 지금까지 Mozilla는 Firefox의 제로데이 취약점을 단 한 번만 수정해야 했습니다.
3월 22일, 인터넷 회사는 Pwn2Own Vancouver 2024 해킹 대회에서 Manfred Paul이 발견하고 시연한 심각한 심각도 문제인 CVE-2024-29943 및 CVE-2024-29944를 해결하기 위한 보안 업데이트를 발표했습니다.
