Krytyczna podatność use-after-free w mechanizmie Animation timelines przeglądarki Firefox oraz klienta pocztowego Thunderbird umożliwia atakującemu zdalne wykonanie kodu w procesie treści (content process). Podatność jest aktywnie wykorzystywana w rzeczywistych atakach.
▸ Pokaż oryginał (EN)
An attacker was able to achieve code execution in the content process by exploiting a use-after-free in Animation timelines. We have had reports of this vulnerability being exploited in the wild. This vulnerability affects Firefox < 131.0.2, Firefox ESR < 128.3.1, Firefox ESR < 115.16.1, Thunderbird < 131.0.1, Thunderbird < 128.3.1, and Thunderbird < 115.16.0.
Błąd polega na nieprawidłowym zarządzaniu pamięcią w module obsługi Animation timelines — po zwolnieniu obiektu w pamięci możliwe jest odwołanie się do niego ponownie (use-after-free), co prowadzi do wykonania arbitralnego kodu. Atakujący może wywołać podatność zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, poprzez spreparowaną stronę internetową lub wiadomość e-mail renderowaną przez podatną aplikację. Wykonanie kodu następuje w kontekście procesu treści (content process).
Atakujący może uzyskać pełną kontrolę nad procesem treści aplikacji, co może prowadzić do ujawnienia poufnych danych, modyfikacji danych lub destabilizacji aplikacji. W połączeniu z innymi podatnościami możliwe jest dalsze przejęcie systemu.
Należy niezwłocznie zaktualizować Mozilla Firefox do wersji 131.0.2 lub nowszej, Firefox ESR do wersji 128.3.1 lub 115.16.1, Mozilla Thunderbird do wersji 131.0.1, 128.3.1 lub 115.16.0 zgodnie z kanałem aktualizacji stosowanym w organizacji.
Mozilla Firefox w wersjach poniżej 131.0.2; Mozilla Firefox ESR w wersjach poniżej 128.3.1 oraz poniżej 115.16.1; Mozilla Thunderbird w wersjach poniżej 131.0.1, poniżej 128.3.1 oraz poniżej 115.16.0.
Podatność została potwierdzona przez Mozilla jako aktywnie wykorzystywana w środowisku produkcyjnym (in the wild) przed opublikowaniem poprawki. Zgłoszenie w Mozilla Bugzilla nosi numer 1923344.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDebian
OSDebian11.0Mozilla Firefox
APPMozilla128.1.0 – 128.3.1 (bez)< 115.16.1< 131.0.2Mozilla Thunderbird
APPMozilla131.0< 115.16.0128.0.1 – 128.3.1 (bez)
CISA KEV — szczegółyi
- Dostawcai
- Mozilla ↗
- Produkti
- Firefox
- Data dodania do KEVi
- 15 października 2024
- Termin remediation (USA)i
- 5 listopada 2024(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable.
Firefox i Firefox ESR zawierają lukę use-after-free w Animation timelines, która umożliwia wykonanie kodu w procesie treści.
▸ Pokaż oryginał (EN)
Mozilla Firefox and Firefox ESR contain a use-after-free vulnerability in Animation timelines that allows for code execution in the content process.
Powiązane podatności
GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER
Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)
RCE przez deserializację PHP w Roundcube Webmail (parametr _from)
Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)
Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki