Сегодня компания Mozilla выпустила экстренные обновления безопасности для устранения критической уязвимости "нулевого дня", эксплуатируемой в дикой природе и затрагивающей веб-браузер Firefox и почтовый клиент Thunderbird.
Дефект безопасности, отслеживаемый как CVE-2023-4863, вызван переполнением буфера кучи в библиотеке кода WebP (libwebp), влияние которого простирается от сбоев до выполнения произвольного кода.
"Открытие вредоносного WebP-изображения может привести к переполнению буфера кучи в процессе обработки контента. Нам известно, что эта проблема используется в других продуктах", - говорится в сообщении Mozilla, опубликованном во вторник.
Mozilla устранила проблему "нулевого дня" в Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 и Thunderbird 115.2.2.
Несмотря на то, что конкретные подробности использования дефекта WebP в атаках пока не раскрываются, эта критическая уязвимость используется в реальных сценариях.
Поэтому пользователям настоятельно рекомендуется установить обновленные версии Firefox и Thunderbird, чтобы обезопасить свои системы от возможных атак.
Как говорится в сегодняшнем сообщении Mozilla, "нулевой день" CVE-2023-4863 затрагивает и другое программное обеспечение, использующее уязвимую версию библиотеки кода WebP.
Одним из них является веб-браузер Google Chrome, который был исправлен в понедельник, когда компания Google предупредила, что ей "известно о существовании в природе эксплойта для CVE-2023-4863".
Обновления безопасности Chrome распространяются среди пользователей в каналах стабильной и расширенной стабильной версии и, как ожидается, охватят всю базу пользователей в ближайшие дни или недели.
Об ошибке 6 сентября сообщила группа Apple Security Engineering and Architecture (SEAR) и лаборатория Citizen Lab из школы Munk при Университете Торонто.
Исследователи безопасности из Citizen Lab также имеют опыт обнаружения и раскрытия уязвимостей "нулевого дня", часто используемых в целевых шпионских кампаниях, проводимых связанными с правительством субъектами угроз.
Как правило, эти кампании направлены на лиц, подвергающихся значительному риску атак, включая журналистов, оппозиционных политиков и диссидентов.
В четверг компания Apple также исправила два "нулевых дня", отмеченных Citizen Lab как используемые в "дикой природе" в рамках цепочки эксплойтов, получившей название BLASTPASS, для установки наемного шпионского ПО Pegasus компании NSO Group на полностью исправленные iPhone.
Сегодня исправления BLASTPASS были также перенесены на старые модели iPhone, включая iPhone 6s, iPhone 7 и первое поколение iPhone SE.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!