Lo sviluppatore del browser Firefox Mozilla ha rilasciato martedì un aggiornamento di sicurezza per risolvere una grave vulnerabilità zero-day in Firefox e Thunderbird che è stata attivamente sfruttata in natura, ha riferito il Daily Planet. I funzionari hanno risolto questo problema in Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 e Thunderbird 115.2.2 e consigliano agli utenti di aggiornare in tempo.

Questa vulnerabilità, identificata come CVE-2023-4863, è un problema di overflow del buffer di heap nel formato immagine WebP che può portare all'esecuzione di codice arbitrario durante l'elaborazione di immagini appositamente predisposte. Secondo la descrizione contenuta nel National Vulnerability Database degli Stati Uniti, questa vulnerabilità potrebbe consentire a un utente malintenzionato remoto di eseguire operazioni di scrittura sulla memoria fuori dai limiti attraverso una pagina HTML appositamente predisposta.

Secondo la notizia di ieri, Google ha rivelato in un bollettino sulla sicurezza pubblicato lunedì di essere venuta a conoscenza che la vulnerabilità zero-day CVE-2023-4863 è stata utilizzata in attacchi selvaggi. La nuova versione è attualmente in fase di distribuzione agli utenti dei canali Stable ed Extended Stable e si prevede che raggiungerà l'intera base di utenti nei prossimi giorni e settimane.