Jak podaje Daily Planet, twórca przeglądarki Firefox, Mozilla, opublikował we wtorek aktualizację zabezpieczeń, która usuwa poważną lukę dnia zerowego w przeglądarkach Firefox i Thunderbird, która jest aktywnie wykorzystywana w środowisku naturalnym. Urzędnicy rozwiązali ten problem w przeglądarkach Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 i Thunderbird 115.2.2 i zalecają użytkownikom terminową aktualizację.

Luka ta, oznaczona jako CVE-2023-4863, to luka w zabezpieczeniach związana z przepełnieniem bufora sterty w formacie obrazu WebP, która może prowadzić do wykonania dowolnego kodu podczas przetwarzania specjalnie spreparowanych obrazów. Zgodnie z opisem zawartym w amerykańskiej krajowej bazie danych o lukach w zabezpieczeniach ta luka może pozwolić osobie atakującej zdalnie na wykonanie operacji zapisu w pamięci poza dopuszczalnym zakresem za pośrednictwem specjalnie spreparowanej strony HTML.

W opublikowanym w poniedziałek biuletynie bezpieczeństwa firma Google ujawniła, że ​​dowiedziała się, że luka dnia zerowego CVE-2023-4863 została wykorzystana w dzikich atakach. Nowa wersja jest obecnie udostępniana użytkownikom w kanałach stabilnym i rozszerzonym stabilnym i oczekuje się, że w nadchodzących dniach i tygodniach dotrze do całej bazy użytkowników.