Mozilla telah mengungkap bahwa critical security flaw yang memengaruhi Firefox dan Firefox Extended Support Release (ESR) telah dieksploitasi secara aktif.

Kerentanan tersebut, yang dilacak sebagai CVE-2024-9680 (skor CVSS: 9,8), telah dijelaskan sebagai use-after-free bug dalam komponen timeline animasi

Seorang attacker berhasil mencapai code execution dalam proses konten dengan mengeksploitasi use-after-free di Animation timelines, kata Mozilla dalam penasihatnya pada hari Rabu kemarin.

"Kami telah menerima laporan tentang eksploitasi kerentanan ini"

Peneliti keamanan Damien Schaeffer dari perusahaan Slovakia ESET dianggap berjasa menemukan dan melaporkan kerentanan tersebut.

Masalah ini telah diatasi di versi browser web berikut:

   Firefox 131.0.2
   Firefox ESR 128.3.1, dan
   Firefox ESR 115.16.1

Saat ini belum ada rincian tentang bagaimana kerentanan tersebut dieksploitasi dalam serangan dunia nyata dan identitas pelaku ancaman di baliknya

Meski begitu, kerentanan remote code execution semacam itu dapat dijadikan senjata dalam beberapa cara, baik sebagai bagian dari watering hole attack yang menargetkan situs web tertentu atau melalui kampanye drive-by download yang mengelabui pengguna agar mengunjungi situs web palsu.

Pengguna disarankan untuk memperbarui browser ke versi terbaru agar tetap terlindungi dari ancaman aktif. Tunggu apalagi, segera bergegas, update browser Firefox anda sakarang juga. (MF-BSSA)