Se você usa os dois principais produtos da Fundação Mozilla, fique atento, pois a empresa corrige Firefox e Thunderbird contra exploração de dia zero em ataques. A Mozilla lançou atualizações de segurança de emergência para corrigir uma vulnerabilidade crítica de dia zero explorada em estado selvagem, impactando seu navegador Firefox e cliente de e-mail Thunderbird.
Rastreada como CVE-2023-4863, a falha de segurança é causada por um estouro de buffer de heap na biblioteca de códigos WebP (libwebp), cujo impacto abrange desde travamentos até execução arbitrária de código.
“Abrir uma imagem WebP maliciosa pode levar a um estouro de buffer no processo de conteúdo. Estamos cientes de que esse problema está sendo explorado em outros produtos”, disse a Mozilla em um comunicado publicado na terça- feira .
Mozilla corrige Firefox e Thunderbird contra exploração de dia zero em ataques
A Mozilla abordou o dia zero explorado no Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 e Thunderbird 115.2.2.
Embora detalhes específicos sobre a exploração da falha WebP em ataques permaneçam não divulgados, esta vulnerabilidade crítica está sendo bastante explorada.
Portanto, os usuários são fortemente aconselhados a instalar versões atualizadas do Firefox e do Thunderbird para proteger seus sistemas contra possíveis ataques.
Google Chrome também com problemas
Como a Mozilla revelou no comunicado de segurança de hoje, o dia zero CVE-2023-4863 também afeta outros softwares que usam a versão vulnerável da biblioteca de códigos WebP.
Um deles é o navegador Google Chrome, que foi corrigido contra essa falha na segunda-feira, quando o Google alertou que está “ciente de que existe uma exploração para CVE-2023-4863 à solta”.
As atualizações de segurança do Chrome estão sendo lançadas para usuários nos canais estável e estendido e devem atingir toda a base de usuários nos próximos dias ou semanas.
A equipe de Engenharia e Arquitetura de Segurança (SEAR) da Apple e o Citizen Lab da Munk School da Universidade de Toronto foram os que relataram o bug em 6 de setembro.
Os pesquisadores de segurança do Citizen Lab também têm um histórico de identificação e divulgação de vulnerabilidades de dia zero frequentemente exploradas em campanhas de espionagem direcionadas lideradas por agentes de ameaças afiliados ao governo.
Estas campanhas centram-se normalmente em indivíduos que correm um risco significativo de ataque, incluindo jornalistas, políticos da oposição e dissidentes.
Na quinta-feira, a Apple também corrigiu dois dias zero marcados pelo Citizen Lab como explorados em estado selvagem como parte de uma cadeia de exploração chamada BLASTPASS para implantar o spyware mercenário Pegasus do Grupo NSO em iPhones totalmente corrigidos.
Hoje, os patches BLASTPASS também foram portados para modelos de iPhone mais antigos , incluindo modelos de iPhone 6s, iPhone 7 e a primeira geração do iPhone SE.