La Fundación Mozilla ha emitido un aviso de seguridad debido a una vulnerabilidad de Zero-Day en su popular navegador web, Firefox. Identificada como CVE-2024-9680 (CVSS 9.8), esta falla se debe a una vulnerabilidad de uso después de liberar memoria (use-after-free) en las líneas de tiempo de animación de Firefox, lo que permite a los atacantes ejecutar código malicioso. La vulnerabilidad fue reportada por Damien Schaeffer de ESET, y Mozilla ha instado a todos los usuarios a actualizar sus navegadores de inmediato.
“Un atacante podría lograr la ejecución de código en el proceso de contenido aprovechando un uso posterior a la liberación en las líneas de tiempo de animación.”, advierte Mozilla en su aviso. Este tipo de vulnerabilidad ocurre cuando un programa continúa utilizando memoria después de haber sido liberada, lo que puede llevar a la ejecución de código arbitrario. Uno de los aspectos más alarmantes de CVE-2024-9680 es que ya ha sido explotada en ataques cibernéticos activos, como lo confirma Mozilla: “Hemos tenido informes de que esta vulnerabilidad se ha explotado”, lo que resalta la urgencia de parchear los sistemas afectados.
Productos y versiones afectadas:
- Firefox versiones anteriores a 131.0.2.
- Firefox ESR versiones anteriores a 115.16.1.
- Firefox ESR versiones anteriores a 128.3.1.
Solución:
- Firefox 131.0.2.
- Firefox ESR 115.16.1.
- Firefox ESR 128.3.1.
Recomendaciones:
- Actualizar de inmediato a la última versión de Firefox para mitigar riesgos.
- Verificar regularmente las actualizaciones del navegador para asegurar su seguridad.
- Informar sobre cualquier actividad sospechosa en el navegador a los equipos de soporte técnico.
Referencias: