Mozilla dicht actief misbruikte zeroday in Firefox

Mozilla heeft een kritieke zeroday gedicht in zijn browser Firefox. De kwetsbaarheid laat aanvallers eigen code uitvoeren en wordt al actief misbruikt door kwaadwillenden, waarschuwt het bedrijf. Het advies is om de update zo snel mogelijk te installeren.

De kwetsbaarheid, CVE-2024-9680, zit in Animation timeline, een mechanisme dat animaties op websites bestuurt en synchroniseert. Mozilla stelt in een security advisory dat het gaat om een use-after-freefout, een probleem gerelateerd aan onjuist gebruik van dynamisch geheugen. Aanvallers kunnen de fout gebruiken om eigen code op getroffen systemen uit te voeren.

Het probleem doet zich voor in zowel de standaard release van Firefox als in releases met uitgebreide ondersteuning, ook wel ESR genoemd. Mozilla heeft het probleem opgelost met een fix die voor drie versies beschikbaar is: Firefox 131.0.2, Firefox ESR 115.16.1 en Firefox ESR 128.3.1.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 10-10-2024 11:03
27 • submitter: Matthijs8

10-10-2024 • 11:03

27

Submitter: Matthijs8

Lees meer

Mozilla Firefox

geen prijs bekend

4.5 van 5 sterren
Mozilla stopt ondersteuning voor Firefox op 32bit-Linux-systemen
Mozilla stopt ondersteuning voor Firefox op 32bit-Linux-systemen Nieuws van 8 september 2025
Firefox krijgt ondersteuning voor tabbladgroepen
Firefox krijgt ondersteuning voor tabbladgroepen Nieuws van 30 april 2025
Firefox stopt in februari met Do Not Track-functie
Firefox stopt in februari met Do Not Track-functie Nieuws van 12 december 2024
ESET: Russische hackers combineerden Firefox- en Windows-zerodays voor backdoors
ESET: Russische hackers combineerden Firefox- en Windows-zerodays voor backdoors Nieuws van 27 november 2024
Synology dicht kritieke kwetsbaarheden in camera's en BeeStation-NAS'en
Synology dicht kritieke kwetsbaarheden in camera's en BeeStation-NAS'en Nieuws van 18 oktober 2024
Mozilla Thunderbird voor Android komt eind deze maand uit
Mozilla Thunderbird voor Android komt eind deze maand uit Nieuws van 3 oktober 2024
Maker haalt uBlock Origin Lite uit Firefox Add-ons Store na ruzie met Mozilla
Maker haalt uBlock Origin Lite uit Firefox Add-ons Store na ruzie met Mozilla Nieuws van 2 oktober 2024
Noyb klaagt bij Oostenrijkse privacytoezichthouder over tracking in Firefox
Noyb klaagt bij Oostenrijkse privacytoezichthouder over tracking in Firefox Nieuws van 25 september 2024
Mozilla sluit eind dit jaar eigen Mastodon-server
Mozilla sluit eind dit jaar eigen Mastodon-server Nieuws van 18 september 2024
Mozilla begint met testen van opensourcekalendertool Thunderbird Appointment
Mozilla begint met testen van opensourcekalendertool Thunderbird Appointment Nieuws van 29 augustus 2024
Mozilla verwijdert telemetrieframework Adjust uit Firefox voor Android en iOS
Mozilla verwijdert telemetrieframework Adjust uit Firefox voor Android en iOS Nieuws van 26 augustus 2024
Mozilla voorziet Firefox Nightly-browser van automatische pip-modus
Mozilla voorziet Firefox Nightly-browser van automatische pip-modus Nieuws van 3 augustus 2024
Meer producten en artikelen
Browsers Mozilla Firefox

Reacties (27)

-Moderatie-faq
27
27
11
1
0
6
Wijzig sortering
patchii 10 oktober 2024 12:24
Zou het uitschakelen van JavaScript met ublock origin oid misbruik tegen gaan voor zoiets?
Ghoulli @patchii10 oktober 2024 12:26
Nee, Animation-timeline is een CSS property: https://developer.mozilla...eb/CSS/animation-timeline
Verwijderd @patchii10 oktober 2024 12:46
zijn er nog sites die dan nog werken met js uit?
patchii @Verwijderd10 oktober 2024 14:58
Niet veel. Ik had wel een tijd dat ik alleen bij "vertrouwde" sites JavaScript aan had staan (YouTube, reddit, tweakers, etc. (al hoewel als deze sites gehackt wordt heb je er alsnog niks aan, zie bijvoorbeeld archive.org)) Maar het is dan toch al heel snel dat je een link opent naar een andere site dat je weer zit te kloten met JavaScript aan of uit zetten. Het kan zeker maar hoe vrolijk je er van wordt...
Sternis 10 oktober 2024 12:25
Een dergelijke fout zou met Rust niet meer mogen optreden.
Helaas is pas 11,7 % van Firefox geschreven in Rust.
Verwijderd @Sternis10 oktober 2024 13:26
En ik maar denken dat de CSS styling al volledig in Rust gebeurde sinds FF 57 (Zie 'CSS' onder 'shipped': https://wiki.mozilla.org/Oxidation)
bkor @Verwijderd10 oktober 2024 14:15
Het deel met de fout lijkt gewoon in C++ geschreven te zijn. Na een beetje zoeken heb lijkt dit de patch te zijn. Had voor het vinden van de patch makkelijker geweest dat de Bugzilla bug openbaar gemaakt was (nu nog gesloten).
Hobbit13 10 oktober 2024 12:32
Zit deze bug ook in de Tor-Browser? Daar lijken me dit soort zaken nog wat erger, kans dat je daar gevoelige info kunt achterhalen is nog veel groter dan bij "normale" gebruikers van Firefox.
atthias @Hobbit1310 oktober 2024 12:50
ja is al een update voor uit download: Tor Browser 13.5.7
nout77 10 oktober 2024 12:11
Toch altijd even schrikken dat zo'n RCE zero day met CVSS van 9.8 in het wild wordt misbruikt. En hoe lang wordt deze al misbruikt? Dat blijft gissen natuurlijk.. Gevonden door het Slowaakse ESET security bedrijf.

Gelukkig dat het bij Firefox heel erg meevalt met het aantal kritieke kwetsbaarheden. De laatste was 7 maanden terug gevonden op Pwn2Own en vrijwel direct gepatcht, zie: https://www.security.nl/p...md+tegen+Pwn2Own-zerodays

[Reactie gewijzigd door nout77 op 10 oktober 2024 12:41]

Ducksy88 @nout7710 oktober 2024 12:20
LMFTFY "...erg meevalt met de ontdekte/geopenbaarde kwetsbaarheden."
Stollie 10 oktober 2024 13:17
De uitrol naar de Microsoft Store versie gaat wel traag zeg.
https://apps.microsoft.com/detail/9nzvdkpmr9rd

Als je kijkt naar 131.0 kwam die op de 1-10 uit en bij de MS Store was dat 5-10.
wernert 10 oktober 2024 20:13
"Het probleem doet zich voor in zowel de standaard release van Firefox als in releases met uitgebreide ondersteuning, "

Lijkt me een letterlijke vertaling van 'extended release', en 'verlengde ondersteuning' is dan een betere vertaling. https://software.umich.edu/titles/firefox-esr

(Als je een 'uitgebreide hightea' bestelt, verwacht je nog meer lekkere dingen dan normaal. Niet een hightea die veel langer mag duren dan de 3 uur van de reservering. )
Martijn.C.V 10 oktober 2024 11:25
@EvelineM Suggestie: after-freefout" las voor mij erg lastig: engels-engels-engelsnederlands, suggesties:
use-after-free fout
"use-after-free"-fout ( of 'use-after-free'-fout, thanks @PCG2020 )
use-after-free fout
use-after-freefout
use-after-free-fout
UAF-kwetsbaarheid, met UAF onderstreept (thanks @dasiro)

Ik las dit (als programmeur) als "use after free f out" en liep vast in wat de F dan zou moeten betekenen :)

[Reactie gewijzigd door Martijn.C.V op 10 oktober 2024 14:31]

AuteurEvelineM @Martijn.C.V10 oktober 2024 11:30
Haha, ik snap je verwarring, maar da's volgens de Nederlandse regels wel hoe we het schrijven, ben ik bang. De regel hier is om zoveel mogelijk aan elkaar te schrijven, tenzij je dan een wirwar van klinkers krijgt o.i.d. In dit geval is het in principe goed te lezen (al snap ik je verwarring wel), dus we laten het toch wel zo staan.
Grrrrrene @EvelineM10 oktober 2024 11:37
Heel vroegah, toen ik zelf nog nieuwsberichten schreef voor T.net, hadden we de regel om tussen Engelse termen en Nederlandse woorden een koppelstreepje te zetten. Dat vond ik veel duidelijker lezen dan een woord waar halverwege van taal wordt gewisseld. Is dat echt "volgens de Nederlandse regels"? Als in: het groene boekje o.i.d.? Volgens Onzetaal.nl mag je wel degelijk een koppelstreepje gebruiken als dat de leesbaarheid bevordert.
AuteurEvelineM @Grrrrrene10 oktober 2024 12:07
Ik ken die regel ook, inderdaad. Maar goed, ik heb de eindredactie nog even gevraagd en de conclusie is dat dit wel de juiste schrijfwijze is. Ik krijg deze verwijzing mee: https://woordenlijst.org/zoeken/?leidraad=6-6

Dus ik ben bang dat het wel zo blijft staan!
R4gnax
@EvelineM10 oktober 2024 19:54
Opmerkelijk dat jullie redactie dan niet op de hoogte is van
https://woordenlijst.org/zoeken/?leidraad=12-1

Dit geval valt nl. onder een bevordering van de leesbaarheid zoals knowhowovereenkomst vs knowhow-overeenkomst.

En valt ook onder uitzonderingsregel 12.C punt b) waar het een gelegenheidsontlening betreft. Deze blijven behandeld alsof in de originele taal en dienen in losse woorden geschreven te worden, met de ontlening cursief. Dus niet "use-after-freefout" maar "use after free fout" in dit geval, of aangezien use-after-free een samengesteld bijvoeglijk naamwoord is in het Engels en dus in de originele taal goed gevormd is: een "use-after-free fout."

(En ja; technisch vak-jargon is echt een gelegenheidsontlening. Dat kun je met geen mogelijkheid beschouwen als proper ingeburgerde 'ver-Nederlandste' leenwoorden.)

[Reactie gewijzigd door R4gnax op 10 oktober 2024 20:00]

AuteurEvelineM @R4gnax11 oktober 2024 10:23
Dit zijn echt zaken die met de eindredactie opgenomen moeten worden, ben ik bang. We hebben een mooi topic dat gaat over spelling en grammatica, daar kunnen dit soort opmerkingen verder gedeeld worden (en daar ziet de eindredactie het ook): forumtopic: Meld hier spel- en tikfoutjes - en dus *geen* andere foutjes
Aschtra @EvelineM10 oktober 2024 12:02
Niet op ingaan! Men moet melden in het bestemde topi :+ :+
AuteurEvelineM @Aschtra10 oktober 2024 12:07
Dat is zeker waar!
deadlock2k @EvelineM10 oktober 2024 12:16
Hier stond eerst iets maar ik onthoud me toch van commentaar omdat ik toch niet geheel zeker ben van m'n zaak.
Ossi @EvelineM10 oktober 2024 13:14
Hoewel dat op zich klopt, lees ik hier ook dat een koppelteken gebruiken het wel veel leesbaarder maakt. Misschien iets om toch weer eens bij de redactie onder ogen te brengen.
https://onzetaal.nl/taall...nederlandse-samenstelling
PCG2020 @Martijn.C.V10 oktober 2024 11:30
Als ze het goed wil doen, zou het 'use-after-free'-fout moeten worden. Anderstalige termen worden in het Nederlands doorgaans tussen enkele aanhalingstekens gezet. Maar jouw suggestie zou de leesbaarheid inderdaad ten goede komen.
Randfiguur @PCG202010 oktober 2024 13:07
Anderstalige termen worden in het Nederlands doorgaans tussen enkele aanhalingstekens gezet.
Is dat zo? Cursief is ook heel populair. Het staat een organisatie/medium uiteraard vrij om consequent voor aanhalingstekens te kiezen. Nadeel is wel dat dat teksten op een technologiewebsite als Tweakers dan vol aanhalingstekens (of cursieve tekst) komt te staan. Dat leest allesbehalve prettig en ik kan me voorstellen dat die overweging meespeelt bij de huidige redactionele lijn.
PCG2020 @Randfiguur10 oktober 2024 19:29
Cursief kan (en mag) bij een eerste vermelding van een anderstalige of onbekende term inderdaad ook. In het geval van 'use-after-free'-fout (of use-after-free-fout) is het ook de enige vermelding in het artikel. Verdere vermeldingen, wanneer aanwezig, zouden als use-after-free-fout geschreven moeten worden, omdat er in de Engelse term ook streepjes staan. Dat laatste wist ik niet meer zeker en moest ik ook weer even opzoeken.

(Wat die @Martijn.C.V met zijn reactie allemaal opgeroepen heeft, haha :D )
dasiro @Martijn.C.V10 oktober 2024 14:25
UAF-kwetsbaarheid waarbij de afkorting gestippeld onderlijnd wordt om de volledige benaming weer te geven. Wordt ook gedaan in vele andere artikelen, zelfs hier op t.net

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq