Mozilla wydała awaryjną aktualizację dla przeglądarek Firefox i Firefox ESR, aby załatać krytyczną lukę bezpieczeństwa oznaczoną jako CVE-2024-9680. Luka ta jest aktywnie wykorzystywana przez cyberprzestępców w środowisku naturalnym (tzw. in the wild). Z tego powodu użytkownicy są zachęcani do jak najszybszego zaktualizowania swoich przeglądarek, aby uniknąć potencjalnych zagrożeń.
Szczegóły dotyczące CVE-2024-9680
Luka CVE-2024-9680, odkryta przez badacza złośliwego systemu z firmy ESET, Damiena Schaefera, to poważna podatność typu use-after-free występująca w mechanizmie osi czasu animacji przeglądarki Firefox. Jak informuje Mozilla, luka ta mogła być wykorzystywana do wykonania złośliwego kodu w procesie tworzenia treści, co stwarzało poważne zagrożenie dla użytkowników.
Choć szczegóły techniczne dotyczące samej luki oraz rzeczywistych ataków nie zostały jeszcze w pełni ujawnione, wiadomo, iż była ona aktywnie wykorzystywana przez cyberprzestępców. Oznacza to, iż luka była szczególnie groźna, gdyż pozwalała na przeprowadzenie skutecznych ataków w środowisku naturalnym.
Mozilla zareagowała błyskawicznie, wydając poprawki w ciągu zaledwie 25 godzin od zgłoszenia luki przez badacza. Zaktualizowane wersje przeglądarek – Firefox 131.0.2, Firefox ESR 115.16.1 oraz Firefox ESR 128.3.1 – zawierają odpowiednie łatki, które eliminują zagrożenie. Użytkownikom zaleca się niezwłoczne zaktualizowanie swoich przeglądarek do tych wersji, aby zminimalizować ryzyko związane z potencjalnym wykorzystaniem tej luki.
Aktualizacja jest kluczowa, biorąc pod uwagę, iż atakujący mogą przez cały czas próbować wykorzystywać te podatności, dopóki użytkownicy nie zainstalują poprawionych wersji.
Jak zaktualizować Firefoksa?
W większości przypadków Firefox automatycznie pobiera i instaluje aktualizacje, dzięki czemu użytkownicy są chronieni bez konieczności manualnej interwencji. Aktualizacja zabezpieczeń, w tym najnowsza łatka związana z luką CVE-2024-9680, zostanie dostarczona automatycznie i wdrożona po ponownym uruchomieniu przeglądarki.
Jeśli jednak masz wyłączone automatyczne aktualizacje, powinieneś niezwłocznie sprawdzić, czy dostępna jest nowa wersja. Aby to zrobić:
- Kliknij ikonę menu (trzy poziome linie) w prawym górnym rogu przeglądarki.
- Wybierz Ustawienia.
- Przejdź do zakładki Ogólne.
- Przewiń do sekcji Aktualizacje Firefoksa.
- Kliknij Sprawdź dostępność aktualizacji.
Jeśli aktualizacja jest dostępna, zostanie pobrana, a przeglądarka poprosi o ponowne uruchomienie w celu jej zainstalowania.
Aktualizacje w środowisku korporacyjnym i Tor Browser
W środowiskach korporacyjnych automatyczne aktualizacje przeglądarek są często wyłączane przez zespoły IT, które zarządzają infrastrukturą i politykami bezpieczeństwa organizacji. W takich przypadkach pracownicy zwykle nie mają uprawnień do manualnego sprawdzania ani instalowania aktualizacji systemu – to zadanie należy do administratorów IT. Dlatego wprowadzenie najnowszych poprawek bezpieczeństwa, takich jak te związane z luką CVE-2024-9680, zależy od terminowego działania działów IT, które powinny jak najszybciej wdrożyć aktualizacje w firmowych systemach.
Dla firm korzystających z Firefox ESR (Extended Support Release), dedykowanej wersji przeglądarki z wydłużonym okresem wsparcia, aktualizacja jest równie istotna. Działy IT muszą upewnić się, iż aktualizacja do wersji Firefox ESR 115.16.1 lub nowszej została wdrożona, aby chronić pracowników przed potencjalnym wykorzystaniem luki zero-day.
Tor Browser – oparty na zmodyfikowanej wersji Firefox ESR, który jest popularnym narzędziem do anonimowego przeglądania internetu – również został zaktualizowany, aby usunąć krytyczną lukę. Użytkownicy Tor Browser powinni również upewnić się, iż mają zainstalowaną najnowszą wersję, która zawiera poprawki zabezpieczeń. Choć Tor Browser automatycznie pobiera aktualizacje, podobnie jak w Firefoksie, osoby, które korzystają z manualnej instalacji lub wyłączonych automatycznych aktualizacji, powinny zaktualizować przeglądarkę tak szybko, jak to możliwe.
