Η Mozilla επιδιορθώνει τον Firefox, Thunderbird κατά 0-day ευπάθειας που αξιοποιείται ενεργά σε επιθέσεις

Η Mozilla κυκλοφόρησε σήμερα επείγουσες ενημερώσεις ασφαλείας για να διορθώσει μια κρίσιμη ευπάθεια μηδενικής ημέρας (0-day), η οποία επηρεάζει το πρόγραμμα περιήγησης ιστού Firefox και το πρόγραμμα ηλεκτρονικού ταχυδρομείου Thunderbird. Με την ονομασία CVE-2023-4863, το ελάττωμα ασφαλείας προκαλείται από μια buffer overflow στη βιβλιοθήκη κώδικα WebP (libwebp), ο αντίκτυπος της οποίας εκτείνεται από crashes έως και την εκτέλεση αυθαίρετου κώδικα.

"Το άνοιγμα μιας κακόβουλης εικόνας WebP θα μπορούσε να οδηγήσει σε υπερχείλιση buffer σωρού στην επεξεργασία περιεχομένου. Γνωρίζουμε ότι αυτό το ζήτημα αξιοποιείται σε άλλα προϊόντα στην άγρια φύση", δήλωσε η Mozilla σε μια συμβουλευτική που δημοσιεύτηκε την Τρίτη.

Η Mozilla αντιμετώπισε το θέμα στο Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 και Thunderbird 115.2.2.

Παρόλο που οι συγκεκριμένες λεπτομέρειες σχετικά με την εκμετάλλευση του ελαττώματος WebP σε επιθέσεις παραμένουν αδιευκρίνιστες, αυτή η κρίσιμη ευπάθεια χρησιμοποιείται αρκετά. Ως εκ τούτου, συνιστάται στους χρήστες να εγκαταστήσουν ενημερωμένες εκδόσεις του Firefox και του Thunderbird για να προστατεύσουν τα συστήματά τους από πιθανές επιθέσεις.

Όπως αποκάλυψε η Mozilla στη σημερινή συμβουλευτική ασφαλείας, το 0-day CVE-2023-4863 επηρεάζει και άλλο λογισμικό που χρησιμοποιεί την ευάλωτη έκδοση της βιβλιοθήκης κώδικα WebP. Ένα από αυτά είναι το πρόγραμμα περιήγησης ιστού Google Chrome, το οποίο επιδιορθώθηκε έναντι αυτού του ελαττώματος τη Δευτέρα, όταν η Google προειδοποίησε ότι "γνωρίζει ότι ένα exploit για το CVE-2023-4863 υπάρχει ελεύθερο". Οι ενημερώσεις ασφαλείας του Chrome διανέμονται στους χρήστες στα κανάλια Stable και Extended stable και αναμένεται να φτάσουν στο σύνολο των χρηστών τις επόμενες ημέρες ή εβδομάδες.

Η ομάδα Security Engineering and Architecture (SEAR) της Apple και το The Citizen Lab στο Munk School του Πανεπιστημίου του Τορόντο ήταν αυτοί που ανέφεραν το σφάλμα στις 6 Σεπτεμβρίου. Οι ερευνητές ασφαλείας του Citizen Lab έχουν επίσης ιστορικό στον εντοπισμό και την αποκάλυψη ευπαθειών μηδενικής ημέρας που χρησιμοποιούνται συχνά σε στοχευμένες εκστρατείες κατασκοπείας υπό την καθοδήγηση απειλητικών φορέων που συνδέονται με την κυβέρνηση. Αυτές οι εκστρατείες επικεντρώνονται συνήθως σε άτομα που διατρέχουν σημαντικό κίνδυνο επίθεσης, συμπεριλαμβανομένων δημοσιογράφων, πολιτικών της αντιπολίτευσης και αντιφρονούντων.

Την Πέμπτη, η Apple επιδιόρθωσε επίσης δύο zero-day που χαρακτηρίστηκαν από το Citizen Lab ως εκμεταλλεύσιμες στην άγρια φύση ως μέρος μιας αλυσίδας εκμεταλλεύσεων που ονομάστηκε BLASTPASS για την ανάπτυξη του κατασκοπευτικού λογισμικού Pegasus της NSO Group σε πλήρως ενημερωμένα iPhones.

Σήμερα, οι επιδιορθώσεις BLASTPASS μεταφέρθηκαν επίσης σε παλαιότερα μοντέλα iPhone, συμπεριλαμβανομένων των μοντέλων iPhone 6s, του iPhone 7 και της πρώτης γενιάς του iPhone SE.