- Lid geworden
- 2 aug 2016
- Berichten
- 33.213
- Leeftijd
- 69
- OS
- Windows 10 Professional
- AV
- AVG Internet security
- FW
- AVG Firewall
Mozilla patcht Firefox en Thunderbird tegen zero-day misbruikt in aanvallen
Door Sergiu Gatlan
Mozilla heeft 12 september noodbeveiligingsupdates uitgebracht, om een kritieke zero-day kwetsbaarheid te verhelpen,
die in het wild is uitgebuit en die van invloed is op de Firefox webbrowser en Thunderbird e-mailclient.
Het beveiligingslek, getraceerd als CVE-2023-4863, wordt veroorzaakt door een heap buffer overflow in de WebP-codebibliotheek
(libwebp), waarvan de impact varieert van crashes tot willekeurige code-uitvoering.
"Het openen van een kwaadaardige WebP-afbeelding, kan leiden tot een heap buffer overflow in het inhoudsproces.
We zijn ons ervan bewust dat dit probleem wordt misbruikt in andere producten in het wild", aldus Mozilla in een advies dat
dinsdag is gepubliceerd.
Mozilla heeft het misbruikte zero-day in Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 en
Thunderbird 115.2.2 aangepakt.
Hoewel specifieke details over de exploitatie van het WebP-fout in aanvallen nog niet bekend zijn gemaakt, wordt deze
kritieke kwetsbaarheid in echte scenario's misbruikt.
Gebruikers wordt daarom sterk aangeraden om bijgewerkte versies van Firefox en Thunderbird te installeren om hun
systemen te beschermen tegen mogelijke aanvallen.
Zoals Mozilla vandaag in een beveiligingsbericht onthulde, heeft de zero-day CVE-2023-4863 ook gevolgen voor andere software
die gebruikmaakt van de kwetsbare WebP-codebibliotheekversie.
Een daarvan is de Google Chrome webbrowser, die maandag tegen deze fout is gepatcht toen Google waarschuwde dat het
"zich ervan bewust is, dat er een exploit voor CVE-2023-4863 in het wild bestaat".
De beveiligingsupdates voor Chrome worden nu uitgerold naar gebruikers in de stabiele en uitgebreide stabiele kanalen en zullen
naar verwachting de komende dagen of weken de hele gebruikersgroep bereiken.
Apple's Security Engineering and Architecture (SEAR) team en The Citizen Lab van de Universiteit van Toronto's Munk School waren
degenen die de bug op 6 september rapporteerden.
De beveiligingsonderzoekers van Citizen Lab hebben ook een geschiedenis in het identificeren en onthullen van zero-day
kwetsbaarheden die vaak worden misbruikt in gerichte spionagecampagnes die worden geleid door dreigingsactoren die zijn
aangesloten bij de overheid.
Deze campagnes richten zich meestal op individuen met een aanzienlijk aanvalsrisico, waaronder journalisten, politici van de oppositie
en dissidenten.
Op donderdag heeft Apple ook twee zero-days gepatcht, die door Citizen Lab zijn aangemerkt als zijnde in het wild misbruikt als
onderdeel van een exploit-keten met de naam BLASTPASS om de Pegasus huurlingen-spionagesoftware van NSO Group in te zetten op
iPhones die volledig zijn gepatcht.
Vandaag zijn de BLASTPASS-patches ook teruggezet naar oudere iPhone-modellen, waaronder iPhone 6s-modellen, de iPhone 7 en de
eerste generatie iPhone SE.
Bron:
Mozilla patches Firefox, Thunderbird against zero-day exploited in attacks
Mozilla released emergency security updates today to fix a critical zero-day vulnerability exploited in the wild, impacting its Firefox web browser and Thunderbird email client.