关于Firefox越界写入漏洞（CVE-2024-29943）的安全预警

一、 基本情况

Mozilla Firefox是一个由Mozilla开发的开放源代码的网页浏览器，支持桌面版（Windows、Mac及Linux平台）、Android 版、iOS版等多种版本。

二、 漏洞描述

Firefox中修复了一个越界写入漏洞（CVE-2024-29943），目前该漏洞已发现被利用。

Firefox 124.0.1之前版本中，由于基于范围的边界检查消除过程中存在问题，威胁者可通过绕过预期安全检查的方式操纵 JavaScript 对象执行越界读取或写入，成功利用可能导致远程代码执行。

此外，Firefox 124.0.1之前版本和Firefox ESR 115.9.1之前版本（桌面版）中还修复了一个代码执行漏洞（CVE-2024-29944），威胁者可将事件处理程序注入特权对象，从而可能导致在父进程中执行任意 JavaScript。

三、 影响范围

Firefox中修复了一个越界写入漏洞（CVE-2024-29943），目前该漏洞已发现被利用。

Firefox 124.0.1之前版本中，由于基于范围的边界检查消除过程中存在问题，威胁者可通过绕过预期安全检查的方式操纵 JavaScript 对象执行越界读取或写入，成功利用可能导致远程代码执行。

此外，Firefox 124.0.1之前版本和Firefox ESR 115.9.1之前版本（桌面版）中还修复了一个代码执行漏洞（CVE-2024-29944），威胁者可将事件处理程序注入特权对象，从而可能导致在父进程中执行任意 JavaScript。

四、 修复建议

目前这些漏洞已经修复，受影响用户可升级到Firefox 124.0.1、Firefox ESR 115.9.1或更高版本。Firefox用户可在Firefox浏览器中通过【打开应用程序菜单】-【帮助】-【关于Mozilla Firefox】检查版本更新，并在更新完成后重新启动。

下载链接：

https://www.firefox.com.cn/

五、 参考链接

https://www.mozilla.org/en-US/security/advisories/mfsa2024-15/

https://www.bleepingcomputer.com/news/security/mozilla-fixes-two-firefox-zero-day-bugs-exploited-at-pwn2own/