Mozilla周二发布了安全更新,以解决Firefox和Thunderbird中一个关键的零日漏洞,该漏洞在野外被积极利用,一天后,谷歌在其Chrome浏览器中发布了该问题的修复程序。
分配了标识符 CVE-2023-4863 的缺点是 WebP 图像格式中的堆缓冲区溢出缺陷,在处理特制图像时可能导致任意代码执行。
“打开恶意WebP图像可能会导致内容过程中出现堆缓冲区溢出,”Mozilla在一份公告中说。“我们知道这个问题正在野外的其他产品中被利用。
根据国家漏洞数据库 (NVD) 上的描述,该漏洞可能允许远程攻击者通过构建的 HTML 页面执行越界内存写入。
苹果安全工程与架构(SEAR)和多伦多大学蒙克学院的公民实验室被认为报告了安全问题。Firefox 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1 和 Thunderbird 115.2.2 中已解决该问题。
这一发展是在谷歌发布针对Chrome中相同漏洞的修复程序的第二天,并指出它“意识到CVE-2023-4863的漏洞存在于野外”。
上周,苹果还发布了更新,以填补两个积极利用的安全漏洞,公民实验室称这些漏洞已被武器化,作为名为BLASTPASS的零点击iMessage漏洞链的一部分,在运行iOS 16.6的完全修补的iPhone上部署Pegasus间谍软件。
虽然有关漏洞利用的具体细节仍然未知,但人们怀疑它们都被利用来针对风险较高的个人,例如活动家,持不同政见者和记者。