CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2024-9680

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVSS 9.8v3.1pub. 2024-10-09upd. 2025-11-04

Krytyczna podatność use-after-free w mechanizmie Animation timelines przeglądarki Firefox oraz klienta pocztowego Thunderbird umożliwia atakującemu zdalne wykonanie kodu w procesie treści (content process). Podatność jest aktywnie wykorzystywana w rzeczywistych atakach.

Pokaż oryginał (EN)

An attacker was able to achieve code execution in the content process by exploiting a use-after-free in Animation timelines. We have had reports of this vulnerability being exploited in the wild. This vulnerability affects Firefox < 131.0.2, Firefox ESR < 128.3.1, Firefox ESR < 115.16.1, Thunderbird < 131.0.1, Thunderbird < 128.3.1, and Thunderbird < 115.16.0.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowym zarządzaniu pamięcią w module obsługi Animation timelines — po zwolnieniu obiektu w pamięci możliwe jest odwołanie się do niego ponownie (use-after-free), co prowadzi do wykonania arbitralnego kodu. Atakujący może wywołać podatność zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, poprzez spreparowaną stronę internetową lub wiadomość e-mail renderowaną przez podatną aplikację. Wykonanie kodu następuje w kontekście procesu treści (content process).

Skutki

Atakujący może uzyskać pełną kontrolę nad procesem treści aplikacji, co może prowadzić do ujawnienia poufnych danych, modyfikacji danych lub destabilizacji aplikacji. W połączeniu z innymi podatnościami możliwe jest dalsze przejęcie systemu.

Mitygacja

Należy niezwłocznie zaktualizować Mozilla Firefox do wersji 131.0.2 lub nowszej, Firefox ESR do wersji 128.3.1 lub 115.16.1, Mozilla Thunderbird do wersji 131.0.1, 128.3.1 lub 115.16.0 zgodnie z kanałem aktualizacji stosowanym w organizacji.

Kogo dotyczy

Mozilla Firefox w wersjach poniżej 131.0.2; Mozilla Firefox ESR w wersjach poniżej 128.3.1 oraz poniżej 115.16.1; Mozilla Thunderbird w wersjach poniżej 131.0.1, poniżej 128.3.1 oraz poniżej 115.16.0.

Uwagi

Podatność została potwierdzona przez Mozilla jako aktywnie wykorzystywana w środowisku produkcyjnym (in the wild) przed opublikowaniem poprawki. Zgłoszenie w Mozilla Bugzilla nosi numer 1923344.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Debian

    OS
    Debian
    11.0
  • Mozilla Firefox

    APP
    Mozilla
    128.1.0 – 128.3.1 (bez)< 115.16.1< 131.0.2
  • Mozilla Thunderbird

    APP
    Mozilla
    131.0< 115.16.0128.0.1 – 128.3.1 (bez)

CISA KEV — szczegółyi

Dostawcai
Mozilla
Produkti
Firefox
Data dodania do KEVi
15 października 2024
Termin remediation (USA)i
5 listopada 2024(po terminie)
Ransomwarei
Aktywne kampanie ransomware używają tej podatności
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Firefox i Firefox ESR zawierają lukę use-after-free w Animation timelines, która umożliwia wykonanie kodu w procesie treści.

tłumaczenie AI
Pokaż oryginał (EN)

Mozilla Firefox and Firefox ESR contain a use-after-free vulnerability in Animation timelines that allows for code execution in the content process.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
☠️WYKORZYSTYWANE W RANSOMWARECISA DEADLINE: 5 listopada 2024
Tagi
RCEMemory
CWE
Referencje

Powiązane podatności

CVE-2026-24061CRITICAL9.8⚠ KEVPL ✓ten sam produkt

GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER

CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)

CVE-2025-49113CRITICAL9.9⚠ KEVPL ✓ten sam produkt

RCE przez deserializację PHP w Roundcube Webmail (parametr _from)

CVE-2025-32433CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki