Mozilla устранила критическую уязвимость нулевого дня, затрагивающую веб-браузер Firefox и почтовый клиент Thunderbird, посредством экстренных обновлений безопасности.
Рассматриваемый недостаток безопасности — CVE-2023-4863 — возникло из-за переполнения буфера кучи в библиотеке кода WebP.
«Открытие вредоносного изображения WebP может привести к переполнению буфера кучи в процессе обработки контента», — говорится в сообщении Mozilla. консультативный опубликовано во вторник и добавлено: «Мы знаем, что эта проблема используется в других продуктах».
Некоммерческий разработчик программного обеспечения рассмотрел эксплойт нулевого дня для:
- Фаерфокс 117.0.1
- Firefox ESR 115.2.1
- Firefox ESR 102.15.1
- Тандерберд 102.15.1
- Тандерберд 115.2.2
Подробности об уязвимости WedP, используемой в атаках, не разглашаются, но пользователям настоятельно рекомендуется обновить свои версии Firefox и Thunderbird.
Содержание
Google уже исправил Chrome
Программное обеспечение Mozilla было не единственным, кто использовал уязвимую версию библиотеки кода WebP.
В понедельник Google исправил свой веб-браузер Chrome, предупредив, что «эксплойт для CVE-2023-4863 существует в природе». Обновления безопасности уже выпускаются и, как ожидается, в ближайшие недели охватят всю базу пользователей.
Apple и The Citizen Lab выявили уязвимость
Команда Apple по разработке безопасности и архитектуре впервые сообщила об уязвимости 6 сентября вместе с лабораторией Citizen Lab в школе Манка при Университете Торонто, которая известна своим выявлением и раскрытием уязвимостей нулевого дня.
Citizen Lab недавно выявила две уязвимости нулевого дня, которые использовались для установки печально известного шпионского ПО Pegasus от NSO Group на современные iPhone. Apple исправила уязвимости на прошлой неделе, прежде чем перенести их на старые модели iPhone, такие как iPhone 6s, iPhone 7 и iPhone SE.
