[目前已修复] 火狐浏览器的零日漏洞被开采用于攻击Tor洋葱浏览器用户

本周火狐浏览器发布新版本修复编号为 CVE-2024-9680 安全漏洞，该漏洞在修复前已经遭到黑客采用并发起攻击，属于零日漏洞范畴。

收到安全报告后谋智基金会推出 Mozilla Firefox v131.0.2、Mozilla Firefox ESR 115.16.1 和 Mozilla Firefox ESR 128.3.1 版进行修复。

值得注意的是此漏洞已经被黑客用来攻击 Tor 洋葱浏览器用户，根据 Tor 项目组发布的消息，借助此漏洞攻击者可以控制 Tor 浏览器并使得用户无法在 Tails 中匿名化。

CVE-2024-9680 漏洞描述：

攻击者能够利用动画时间轴中的释放后使用漏洞 (Use-after-Free) 在内容进程中实现代码执行，谋智基金会已经收到有关此漏洞被广泛利用的报告。

Tor 浏览器基于开源的 Mozilla Firefox 开发，因此也受到该漏洞的影响，但目前还不清楚黑客是针对 Firefox 的还是 Tor 浏览器的。

通常情况下开采此类具有极高价值的漏洞，黑客不太可能借助漏洞发起广泛攻击，而是只针对特定场景、特定用户群发起攻击以实现最大化利用。

基于安全考虑目前 Mozilla 尚未公布此漏洞的细节，可能需要大多数用户都已经升级到不受影响的版本后，Mozilla 才会陆续披露漏洞的具体细节。

说回 Tor 浏览器方面：

鉴于此漏洞已经被利用以及其潜在的危害性，Tor 项目组紧急发布 Tor Browser v13.5.7 版修复该漏洞 (MFSA 2024-51)，所有使用 Tor 浏览器的用户都应该立即升级到此版本确保安全。