Mozilla發布Firefox更新，修補已遭利用的零時差漏洞

10月9日Mozilla基金會發布資安公告，緊急修補Firefox重大層級的零時差漏洞CVE-2024-9680，這項漏洞由資安業者ESET通報，存在於Animation元件的時間軸，為記憶體釋放後再存取使用（Use After Free）漏洞，CVSS風險評分達到9.8（滿分10分），該基金會發布Firefox 131.0.2，以及長期支援版（ESR）128.3.1、115.16.1修補。值得留意的是，已有攻擊者試圖利用這項漏洞。

針對這項漏洞帶來的影響，Mozilla基金會指出，攻擊者若是觸發漏洞，就有機會藉由Animation元件的時間軸，引發記憶體釋放後再存取使用的現象，而能在特定處理程序執行程式碼。

他們特別提及，已接獲漏洞被實際利用的通報。究竟駭客如何利用漏洞？該基金會並未進一步說明。

想要修補上述漏洞並不難，因為Firefox會自行下載新版程式，並在功能選單提醒軟體更新，用戶應依照指示套用並重新啟動瀏覽器，即可緩解這項漏洞。