Mozilla випустила екстрені оновлення безпеки, щоб усунути критичну вразливість нульового дня, яка використовувалася in the wild, що вплинуло на веббраузер Firefox і поштовий клієнт Thunderbird. Про це повідомляє Bleeping Computer.
Вразливість CVE-2023-4863 зумовлена heap buffer overflow у бібліотеці кодування WebP (libwebp), а її наслідки варіюються від збоїв до довільного виконання коду.
«Відкриття шкідливого зображення WebP може призвести до heap buffer overflow у процесі обробки вмісту. Ми знаємо, що ця проблема використовується в інших продуктах у реальних умовах», – йдеться у повідомленні Mozilla.
Mozilla вирішила проблему Zero-day у Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 і Thunderbird 115.2.2.
Незважаючи на те, що конкретні подробиці щодо використання недоліку WebP під час атак залишаються нерозкритими, цією критичною вразливістю зловживають у реальних сценаріях.
Тому користувачам настійно рекомендується встановити оновлені версії Firefox і Thunderbird, щоб захистити свої системи від потенційних атак.
Як повідомляє Mozilla, CVE-2023-4863 Zero-day також впливає на інше програмне забезпечення, яке використовує вразливу версію бібліотеки коду WebP.
Одним із них є веббраузер Google Chrome, у якому в понеділок було виправлено цю проблему, коли Google попередив:
«Відомо, що експлойт для CVE-2023-4863 існує у реальних умовах».
Оновлення безпеки Chrome надходять для користувачів у стабільному та розширеному стабільному каналах і, як очікується, охоплять усю базу користувачів протягом найближчих днів або тижнів.
6 вересня про помилку повідомили команда відділу безпеки та архітектури Apple (SEAR) і The Citizen Lab зі школи Манка Університету Торонто.
Дослідники з питань кібербезпеки в Citizen Lab також регулярно виявляють і розкривають zero-day вразливості, які часто використовуються у цілеспрямованих кампаніях шпигунства та загроз, пов’язаних з урядами.
Зазвичай такі кампанії спрямовані на осіб, які перебувають під значним ризиком атаки. Це можуть бути журналісти, опозиційні політики й дисиденти.
Нещодавно Apple також виправила дві zero-day вразливості, які були виявлені Citizen Lab і використовувалися у реальних умовах в межах ланцюжка вторгнення під назвою BLASTPASS для розповсюдження шпигунського програмного забезпечення Pegasus від NSO Group на повністю оновлені iPhone.
Сьогодні патчі для BLASTPASS також були внесені у старі моделі iPhone, включно з моделями iPhone 6s, iPhone 7 та першого покоління iPhone SE.
Раніше ми повідомляли, що Apple виправляє критичні вразливості у iOS та iPadOS 16 і macOS Ventura, а Mozilla випустила Firefox 115 із патчами для двох серйозних помилок use-after-free.
Вчора відбулася спеціальна подія від Apple Wonderlust, читайте про новинки компанії на нашому сайті.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!