Mozilla во вторник выпустила обновления для системы безопасности, устраняющие критическую уязвимость нулевого дня в Firefox и Thunderbird, которая активно использовалась в дикой природе, на следующий день после того, как Google выпустила исправление проблемы в своем браузере Chrome.
Недостатком, которому присвоен идентификатор CVE-2023-4863, является ошибка переполнения буфера кучи в формате изображения WebP, которая может привести к выполнению произвольного кода при обработке специально созданного изображения.
"Открытие вредоносного образа WebP может привести к переполнению буфера кучи в процессе содержимого", - сказала Mozilla в рекомендации. "Мы знаем, что эта проблема используется в других продуктах в дикой природе".
Согласно описанию в Национальной базе данных уязвимостей (NVD), ошибка может позволить удаленному злоумышленнику выполнить запись за пределы памяти через созданную HTML-страницу.
Apple Security Engineering and Architecture (SEAR) и Citizen Lab в Школе Манк Университета Торонто сообщили о проблеме безопасности. Проблема была устранена в Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 и Thunderbird 115.2.2.
Разработка началась на следующий день после того, как Google выпустила исправления для того же недостатка в Chrome, отметив, что "известно, что эксплойт для CVE-2023-4863 существует в дикой природе".
На прошлой неделе Apple также опубликовала обновления для устранения двух активно используемых дыр в безопасности, которые, по словам Citizen Lab, были использованы как часть цепочки эксплойтов iMessage с нулевым кликом под названием BLASTPASS для развертывания шпионского ПО Pegasus на полностью исправленных iPhone под управлением iOS 16.6.
Хотя конкретные детали использования недостатков остаются неизвестными, есть подозрение, что все они используются для нацеливания на лиц, подверженных повышенному риску, таких как активисты, диссиденты и журналисты.
Недостатком, которому присвоен идентификатор CVE-2023-4863, является ошибка переполнения буфера кучи в формате изображения WebP, которая может привести к выполнению произвольного кода при обработке специально созданного изображения.
"Открытие вредоносного образа WebP может привести к переполнению буфера кучи в процессе содержимого", - сказала Mozilla в рекомендации. "Мы знаем, что эта проблема используется в других продуктах в дикой природе".
Согласно описанию в Национальной базе данных уязвимостей (NVD), ошибка может позволить удаленному злоумышленнику выполнить запись за пределы памяти через созданную HTML-страницу.
Apple Security Engineering and Architecture (SEAR) и Citizen Lab в Школе Манк Университета Торонто сообщили о проблеме безопасности. Проблема была устранена в Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 и Thunderbird 115.2.2.
Разработка началась на следующий день после того, как Google выпустила исправления для того же недостатка в Chrome, отметив, что "известно, что эксплойт для CVE-2023-4863 существует в дикой природе".
На прошлой неделе Apple также опубликовала обновления для устранения двух активно используемых дыр в безопасности, которые, по словам Citizen Lab, были использованы как часть цепочки эксплойтов iMessage с нулевым кликом под названием BLASTPASS для развертывания шпионского ПО Pegasus на полностью исправленных iPhone под управлением iOS 16.6.
Хотя конкретные детали использования недостатков остаются неизвестными, есть подозрение, что все они используются для нацеливания на лиц, подверженных повышенному риску, таких как активисты, диссиденты и журналисты.
