【已复现】Mozilla Firefox 释放后重用漏洞(CVE-2024-9680)安全风险通告第二次更新

主要观点总结

本文介绍了Mozilla Firefox中存在的Animation timelines释放后重用漏洞（CVE-2024-9680），该漏洞允许远程攻击者在内容进程中实现代码执行。文章提供了漏洞的详细信息、影响范围、复现情况、处置建议和时间线。

关键观点总结

关键观点1: 漏洞概述

Mozilla Firefox存在Animation timelines释放后重用漏洞（CVE-2024-9680），影响版本包括Firefox < 131.0.2、Firefox ESR < 115.16.1和Firefox ESR < 128.3.1。该漏洞允许远程攻击者通过利用Animation timelines在内容进程中实现代码执行。

关键观点2: 漏洞影响

该漏洞的影响量级为千万级，奇安信将其评级为高危，CVSS 3.1分数为9.8。利用可能性高，POC状态已公开，已发现有人利用此漏洞进行攻击。

关键观点3: 技术细节和危害描述

该漏洞涉及Mozilla Firefox中的Animation timelines功能，远程攻击者可以通过利用该功能中的释放后使用漏洞实现代码执行。漏洞细节和POC已在互联网上公开。

关键观点4: 处置建议

官方已有可更新版本，建议受影响用户升级至最新版本Firefox >= 131.0.2、Firefox ESR >= 115.16.1和Firefox ESR >= 128.3.1。官方补丁下载地址：https://www.firefox.com.cn/。

文章预览

●  点击↑蓝字关注我们，获取更多安全风险通告 漏洞概述 漏洞名称 Mozilla Firefox Animation timelines 释放后重用漏洞 漏洞编号 QVD-2024-42093,CVE-2024-9680 公开时间 2024-10-09 影响量级 千万级 奇安信评级 高危 CVSS 3.1分数 9.8 威胁类型 代码执行 利用可能性 高 POC状态 已公开 在野利用状态 已发现 EXP状态 未公开 技术细节状态 已公开 危害描述： 远程攻击者能够通过利用 Animation timelines 中的释放后使用漏洞在内容进程中实现代码执行。 0 1 漏洞详情 > > > > 影响组件 Mozilla Firefox 是一款广泛使用的开源网页浏览器，它由 Mozilla 基金会和其子公司 Mozilla Corporation 开发。Firefox 以其对网络标准的高兼容性、对用户隐私的重视以及对扩展和自定义的支持而受到用户的青睐。 Animation timelines 是一个用于控制CSS动画进度的CSS属性。它允许开发者指定一个时间线，这个时间线可 ………………………………