Обновления Firefox 131.0.2 и Tor Browser 13.5.7 с устранением критической уязвимости

Опубликованы корректирующий выпуски Firefox 131.0.2, Firefox ESR 115.16.1, Firefox ESR 128.3.1 и Tor Browser 13.5.7, в которых устранена критическая уязвимость (CVE-2024-9680), приводящая к выполнению кода на уровне процесса обработки контента при открытии специально оформленных страниц. Уязвимость вызвана обращением к уже освобождённой памяти (use-after-free) в реализации API AnimationTimeline, применяемого для синхронизации и точного управления анимированными эффектами на web-страницах. Опасность уязвимости усугубляется тем, что ещё до появления исправления компанией ESET выявлены факты её использования в эксплоитах для совершения атак (0-day). Детальная информация о сути уязвимости пока не раскрывается.

Дополнительно можно отметить о выявлении в выпуске Firefox 131 проблем (1, 2, 3), приводящих к нарушению отображения элементов интерфейса при запуске браузера в окружениях на базе X11/Xorg без композитного менеджера. Проблемы проявляются в Xfce при выключенном композитном режиме в настройках и в простых оконных менеджерах. Например, пропадают тени и закругления всплывающих меню, отображается чёрный фон вместо прозрачности на индикаторе автопрокрутки.