Το Mozilla διορθώνει το Firefox, το Thunderbird ενάντια στο zero-day που εκμεταλλεύεται σε επιθέσεις

Η Mozilla κυκλοφόρησε σήμερα ενημερώσεις ασφαλείας έκτακτης ανάγκης για να διορθώσει μια κρίσιμη ευπάθεια zero-day που εκμεταλλεύτηκε στην άγρια ​​φύση, επηρεάζοντας το πρόγραμμα περιήγησης ιστού

Firefox

και το πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου Thunderbird.

Παρακολούθηση ως

CVE-2023-4863

το ελάττωμα ασφαλείας προκαλείται από μια υπερχείλιση buffer σωρού στη βιβλιοθήκη κώδικα WebP (libwebp), της οποίας ο αντίκτυπος εκτείνεται από σφάλματα έως αυθαίρετη εκτέλεση κώδικα.

“Το άνοιγμα μιας κακόβουλης εικόνας WebP θα μπορούσε να οδηγήσει σε υπερχείλιση buffer σωρού στη διαδικασία περιεχομένου. Γνωρίζουμε ότι αυτό το ζήτημα χρησιμοποιείται σε άλλα προϊόντα στη φύση,” Mozilla

είπε

σε μια συμβουλευτική που δημοσιεύθηκε την Τρίτη.

Η Mozilla αντιμετώπισε το υπό εκμετάλλευση zero-day σε Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 και Thunderbird 115.2.2.

Παρόλο που συγκεκριμένες λεπτομέρειες σχετικά με την εκμετάλλευση του ελαττώματος του WebP σε επιθέσεις παραμένουν άγνωστες, αυτή η κρίσιμη ευπάθεια γίνεται κατάχρηση σε σενάρια πραγματικού κόσμου.

Ως εκ τούτου, συνιστάται στους χρήστες να εγκαταστήσουν ενημερωμένες εκδόσεις του Firefox και του Thunderbird για να προστατεύσουν τα συστήματά τους από πιθανές επιθέσεις.

Όπως αποκάλυψε η Mozilla στη σημερινή

ενημέρωση

για την ασφάλεια, το

CVE-2023-4863 μηδενική ημέρα

επηρεάζει επίσης άλλο λογισμικό που χρησιμοποιεί την ευάλωτη έκδοση της βιβλιοθήκης κώδικα WebP.

Ένα από αυτά είναι το πρόγραμμα περιήγησης ιστού Google Chrome, το οποίο διορθώθηκε έναντι αυτού του ελαττώματος τη Δευτέρα, όταν η Google προειδοποίησε ότι “γνωρίζει ότι υπάρχει εκμετάλλευση για το CVE-2023-4863 στη φύση.”

Οι ενημερώσεις ασφαλείας του Chrome κυκλοφορούν σε χρήστες στα Σταθερά και Εκτεταμένα σταθερά κανάλια και αναμένεται να φτάσουν σε ολόκληρη τη βάση χρηστών τις επόμενες ημέρες ή εβδομάδες.

Η ομάδα Μηχανικών και Αρχιτεκτονικής Ασφαλείας της Apple (SEAR) και το The Citizen Lab στο Munk School του Πανεπιστημίου του

Τορόντο

ήταν αυτοί που ανέφεραν το σφάλμα στις 6 Σεπτεμβρίου.

Οι ερευνητές ασφαλείας στο Citizen Lab έχουν επίσης ιστορικό εντοπισμού και αποκάλυψης τρωτών σημείων zero-day που συχνά εκμεταλλεύονται σε στοχευμένες εκστρατείες κατασκοπείας που ηγούνται από φορείς απειλών που συνδέονται με την κυβέρνηση.

Αυτές οι εκστρατείες επικεντρώνονται συνήθως σε άτομα που διατρέχουν σημαντικό κίνδυνο επίθεσης, συμπεριλαμβανομένων δημοσιογράφων, πολιτικών της αντιπολίτευσης και αντιφρονούντων.

Την Πέμπτη, η Apple επιδιορθώνει επίσης δύο zero-days που επισημάνθηκαν από το Citizen Lab ως εκμετάλλευση στη φύση ως μέρος μιας αλυσίδας εκμετάλλευσης που ονομάζεται BLASTPASS για να αναπτύξει το μισθοφόρο λογισμικό κατασκοπείας

Pegasus

του Ομίλου NSO σε πλήρως επιδιορθωμένα

iPhone

.

Σήμερα, οι ενημερώσεις κώδικα BLASTPASS υποβλήθηκαν επίσης σε παλαιότερα μοντέλα iPhone, συμπεριλαμβανομένων των μοντέλων iPhone 6s, του iPhone 7 και της πρώτης γενιάς του iPhone SE.