A Mozilla lançou hoje atualizações de segurança de emergência para corrigir uma vulnerabilidade crítica de zero-day explorada no mundo real, afetando seu navegador da web Firefox e o cliente de email Thunderbird.
Rastreada como
CVE-2023-4863
, a falha de segurança é causada por um estouro de buffer do heap na biblioteca de código WebP (libwebp), cujo impacto varia de travamentos a execução arbitrária de código.
"Abrir uma imagem WebP maliciosa poderia levar a um estouro de buffer de heap no processo de conteúdo.
Estamos cientes de que este problema está sendo explorado em outros produtos no mundo real", disse a Mozilla em um aviso publicado na terça-feira.
A Mozilla corrigiu o zero-day explorado no Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 e Thunderbird 115.2.2.
Embora detalhes específicos sobre a exploração da falha do WebP nos ataques permaneçam não divulgados, essa vulnerabilidade crítica está sendo abusada em cenários do mundo real.
Portanto, recomenda-se fortemente que os usuários instalem versões atualizadas do Firefox e do Thunderbird para proteger seus sistemas contra possíveis ataques.
Conforme a Mozilla revelou no aviso de segurança de hoje, o zero-day
CVE-2023-4863
também afeta outros softwares que utilizam a versão vulnerável da biblioteca de código WebP.
Um deles é o navegador da web Google Chrome, que foi corrigido contra essa falha na segunda-feira, quando o Google alertou que está "ciente de que um exploit para
CVE-2023-4863
existe no mundo real".
As atualizações de segurança do Chrome estão sendo lançadas para usuários nos canais Stable e Extended stable e devem atingir toda a base de usuários nos próximos dias ou semanas.
A equipe de Engenharia e Arquitetura de Segurança (SEAR) da Apple e The Citizen Lab na Munk School da Universidade de Toronto foram os que relataram o bug em 6 de Setembro.
Os pesquisadores de segurança do Citizen Lab também têm um histórico de identificação e divulgação de vulnerabilidades de zero-day frequentemente exploradas em campanhas de espionagem direcionadas lideradas por atores de ameaças afiliados ao governo.
Essas campanhas geralmente se concentram em indivíduos com risco significativo de ataque, incluindo jornalistas, políticos de oposição e dissidentes.
Na quinta-feira, a Apple também corrigiu dois dias zero marcados pelo Citizen Lab como explorados no mundo real como parte de uma cadeia de exploração apelidada de BLASTPASS para implantar o spyware mercenário Pegasus do NSO Group em iPhones totalmente atualizados.
Hoje, os patches do BLASTPASS também foram retrocompatíveis para modelos de iPhone mais antigos, incluindo os modelos iPhone 6s, o iPhone 7 e a primeira geração do iPhone SE.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...