Mozilla急于修补Firefox和Thunderbird中的WebP关键零日漏洞

Mozilla周二发布了安全更新，以解决Firefox和Thunderbird中一个关键的零日漏洞，该漏洞在野外被积极利用，一天后，谷歌在其Chrome浏览器中发布了该问题的修复程序。

分配了标识符 CVE-2023-4863 的缺点是 WebP 图像格式中的堆缓冲区溢出缺陷，在处理特制图像时可能导致任意代码执行。

“打开恶意WebP图像可能会导致内容过程中出现堆缓冲区溢出，”Mozilla在一份公告中说。“我们知道这个问题正在野外的其他产品中被利用。

根据国家漏洞数据库 （NVD） 上的描述，该漏洞可能允许远程攻击者通过构建的 HTML 页面执行越界内存写入。

苹果安全工程与架构（SEAR）和多伦多大学蒙克学院的公民实验室被认为报告了安全问题。Firefox 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1 和 Thunderbird 115.2.2 中已解决该问题。

这一发展是在谷歌发布针对Chrome中相同漏洞的修复程序的第二天，并指出它“意识到CVE-2023-4863的漏洞存在于野外”。

上周，苹果还发布了更新，以填补两个积极利用的安全漏洞，公民实验室称这些漏洞已被武器化，作为名为BLASTPASS的零点击iMessage漏洞链的一部分，在运行iOS 16.6的完全修补的iPhone上部署Pegasus间谍软件。

虽然有关漏洞利用的具体细节仍然未知，但人们怀疑它们都被利用来针对风险较高的个人，例如活动家，持不同政见者和记者。