Mozilla は本日、Firefox Web ブラウザと Thunderbird 電子メール クライアントに影響を与える、実際に悪用されている重大なゼロデイ脆弱性を修正するための緊急セキュリティ アップデートをリリースしました。
CVE-2023-4863として追跡されるこのセキュリティ上の欠陥は、WebP コード ライブラリ (libwebp) のヒープ バッファ オーバーフローによって引き起こされ、その影響はクラッシュから任意のコードの実行に及びます。
Mozillaは火曜日に公開した勧告の中で、「悪意のあるWebP画像を開くと、コンテンツプロセスでヒープバッファオーバーフローが発生する可能性がある。この問題が他の製品で悪用されていることをわれわれは認識している」と述べた。
Mozilla は、Firefox 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1、および Thunderbird 115.2.2 で悪用されたゼロデイに対処しました。
WebP の欠陥による攻撃への悪用に関する具体的な詳細はまだ明らかにされていませんが、この重大な脆弱性は現実のシナリオで悪用されています。
したがって、潜在的な攻撃からシステムを保護するために、Firefox と Thunderbird の更新バージョンをインストールすることを強くお勧めします。
Mozilla が本日のセキュリティ勧告で明らかにしたように、 CVE-2023-4863 ゼロデイは、脆弱な WebP コード ライブラリ バージョンを使用する他のソフトウェアにも影響を与えます。
そのうちの 1 つは Google Chrome Web ブラウザで、月曜日に Google が「CVE-2023-4863 のエクスプロイトが存在することを認識している」と警告し、この脆弱性に対するパッチが適用されました。
Chrome のセキュリティ アップデートは、安定版および拡張安定版チャネルのユーザーに展開されており、今後数日から数週間以内にユーザー ベース全体に届く予定です。
Apple の Security Engineering and Architecture (SEAR) チームとトロント大学マンク スクールの The Citizen Lab が、9 月 6 日にこのバグを報告しました。
Citizen Lab のセキュリティ研究者には、政府関連の攻撃者が主導する標的型スパイ活動で頻繁に悪用されるゼロデイ脆弱性を特定し、公開してきた経歴もあります。
これらのキャンペーンは通常、ジャーナリスト、野党政治家、反体制派など、攻撃の危険にさらされている個人に焦点を当てています。
木曜日、Apple はまた、NSO Group の Pegasus mercenary スパイウェアを完全にパッチが適用された iPhoneに展開するために、BLASTPASS と呼ばれるエクスプロイト チェーンの一部として、Citizen Lab によって実際に悪用されたとタグ付けされた2 つのゼロデイにパッチを適用しました。
現在、BLASTPASS パッチは、iPhone 6s モデル、iPhone 7、および第 1 世代の iPhone SE を含む、古い iPhone モデルにもバックポートされました。
Comments