A Mozilla divulgou uma falha de segurança crítica que está afetando as versões do navegador Firefox e Firefox Extended Support Release (ESR). A vulnerabilidade, classificada como CVE-2024-9680, recebeu uma pontuação CVSS de 9.8, destacando a gravidade do problema. O bug, identificado como um use-after-free no componente de linha do tempo de animação, pode permitir que um invasor execute código malicioso no processo de conteúdo do navegador. Segundo a Mozilla, um invasor já conseguiu explorar essa falha para obter execução de código, comprometendo a segurança dos usuários que utilizam versões desatualizadas do Firefox.

A empresa emitiu um comunicado na quarta-feira, alertando sobre a urgência de atualizar o navegador para se proteger contra ataques ativos que estão sendo observados no ambiente digital. A falha foi descoberta pelo pesquisador de segurança Damien Schaeffer, da empresa eslovaca ESET, que também relatou a vulnerabilidade. A Mozilla já lançou atualizações para corrigir o problema, com as versões afetadas corrigidas nos lançamentos: Firefox 131.0.2, Firefox ESR 128.3.1 e Firefox ESR 115.16.1.

Embora a Mozilla tenha confirmado que a falha está sendo explorada, ainda não há detalhes específicos sobre como os ataques estão ocorrendo no mundo real, nem sobre a identidade dos atacantes por trás dessas ações. O tipo de vulnerabilidade em questão pode ser utilizado de várias maneiras, seja em ataques conhecidos como watering hole, que visam websites específicos, ou em campanhas de drive-by download, que enganam usuários para que visitem sites maliciosos.