Mozilla corrige o Firefox e o Thunderbird contra exploits de dia zero
Mozilla corrige o Firefox e o Thunderbird contra exploits de dia zero' (Mozilla fixes Firefox and Thunderbird against zero-day exploits)
A Mozilla corrigiu uma vulnerabilidade crítica de dia zero que afetava seu navegador da web Firefox e seu cliente de e-mail Thunderbird por meio de atualizações de segurança de emergência.
A falha de segurança em questão – CVE-2023-4863 – originou-se de um estouro de buffer de heap na biblioteca de código WebP.
“Abrir uma imagem WebP maliciosa poderia levar a um estouro de buffer de heap no processo de conteúdo”, disse a Mozilla em um aviso publicado na terça-feira, acrescentando: “Estamos cientes de que esse problema está sendo explorado em outros produtos em circulação”.
O desenvolvedor de software sem fins lucrativos abordou a exploração de dia zero para:
- Firefox 117.0.1
- Firefox ESR 115.2.1
- Firefox ESR 102.15.1
- Thunderbird 102.15.1
- Thunderbird 115.2.2
Os detalhes sobre o uso da falha do WedP em ataques não foram compartilhados, mas os usuários foram fortemente aconselhados a atualizar suas versões do Firefox e Thunderbird.
- Os melhores headsets de realidade virtual para 2023
- O Firefly Generative AI do Photoshop está aqui. Isso é quanto vai t...
- Obtenha o Windows 11 Pro em três dispositivos por apenas $30 agora ...
O Google já corrigiu o Chrome
O software da Mozilla não foi o único a usar a versão vulnerável da biblioteca de código WebP.
O Google corrigiu seu navegador da web Chrome na segunda-feira, enquanto alertava que “existe uma exploração para CVE-2023-4863 em circulação”. Suas atualizações de segurança têm sido lançadas e espera-se que cubram toda a sua base de usuários nas próximas semanas.
A Apple e o Citizen Lab identificaram a falha
A equipe de Engenharia e Arquitetura de Segurança da Apple relatou pela primeira vez a falha em 6 de setembro, juntamente com o Citizen Lab na Munk School da Universidade de Toronto – este último famoso por identificar e divulgar vulnerabilidades de dia zero.
O Citizen Lab identificou recentemente duas vulnerabilidades de dia zero usadas para implantar o spyware mercenário Pegasus do NSO Group em iPhones atualizados. A Apple corrigiu as vulnerabilidades na semana passada antes de retrocedê-las para modelos mais antigos do iPhone, como o iPhone 6s, iPhone 7 e iPhone SE.