Mozilla đã vá lỗi quan trọng ngày hôm nay ảnh hưởng đến trình duyệt web Firefox và ứng dụng email Thunderbird thông qua các bản cập nhật bảo mật khẩn cấp. Lỗ hổng bảo mật này – CVE-2023-4863 – xuất phát từ heap buffer overflow trong thư viện mã code WebP. Mozilla cho biết trong một thông báo được công bố vào ngày thứ ba rằng “Mở một hình ảnh WebP độc hại có thể dẫn đến heap buffer overflow trong quá trình nội dung,” đồng thời thêm “Chúng tôi nhận thấy vấn đề này đang bị khai thác trong các sản phẩm khác trên thực địa.” Các lỗ hổng zero-day đã được Mozilla vá cho:
– Firefox 117.0.1
– Firefox ESR 115.2.1
– Firefox ESR 102.15.1
– Thunderbird 102.15.1
– Thunderbird 115.2.2
Các chi tiết về việc lợi dụng lỗ hổng WedP chưa được chia sẻ, nhưng người dùng đã được khuyến nghị mạnh mẽ cập nhật phiên bản Firefox và Thunderbird của mình. Google đã vá Chrome trước đó. Phần mềm của Mozilla không phải là duy nhất sử dụng phiên bản thư viện mã WebP có lỗ hổng, Google cũng vá trình duyệt web Chrome của mình trong khi cảnh báo “có sự khai thác cho CVE-2023-4863 tồn tại trong thực địa.” Đội kỹ thuật và kiến trúc bảo mật của Apple và Citizen Lab tại Đại học Toronto cũng đã xác định lỗi này. Citizen Lab gần đây đã xác định hai lỗ hổng zero-day được sử dụng để triển khai phần mềm gián điệp Pegasus của NSO Group lừng danh lên các iPhone cập nhật. Apple đã vá các lỗ hổng trong tuần trước trước khi quay trở lại các mẫu iPhone cũ hơn như iPhone 6s, iPhone 7 và iPhone SE. #Mozilla #Firefox #Thunderbird #ZeroDay #CVE-2023-4863 #Chrome #Pegasus #NSOGroup #Apple #CitizenLab
Nguồn: https://readwrite.com/mozilla-firefox-thunderbird-cve20234863/
Mozilla fixed a critical zero-day vulnerability affecting its Firefox web browser and Thunderbird email client via emergency security updates.
The security flaw in question — CVE-2023-4863 — stemmed from a heap buffer overflow in the WebP code library.
“Opening a malicious WebP image could lead to a heap buffer overflow in the content process,” Mozilla said in an advisory published on Tuesday, adding: “We are aware of this issue being exploited in other products in the wild.”
The not-for-profit software developer addressed the zero-day exploit for:
- Firefox 117.0.1
- Firefox ESR 115.2.1
- Firefox ESR 102.15.1
- Thunderbird 102.15.1
- Thunderbird 115.2.2
The details surrounding the WedP flaw being used in attacks have not been shared, but users have been strongly advised to update their versions of Firefox and Thunderbird.
Google already patched Chrome
Mozilla software was not alone in using the vulnerable WebP code library version.
Google patched its Chrome web browser on Monday while warning that “an exploit for CVE-2023-4863 exists in the wild.” Its security updates have been rolling out and are expected to cover its entire user base in the weeks ahead.
Apple and The Citizen Lab identified the flaw
Apple’s Security Engineering and Architecture team first reported the flaw on Sept. 6, alongside The Citizen Lab at the University of Toronto’s Munk School — the latter famous for identifying and disclosing zero-day vulnerabilities.
Citizen Lab recently identified two zero-day vulnerabilities used to deploy NSO Group’s infamous Pegasus mercenary spyware onto up-to-date iPhones. Apple patched the vulnerabilities last week before backporting them to older iPhone models — such as the iPhone 6s, iPhone 7 and iPhone SE.
