Mozilla lanzó hoy actualizaciones de seguridad de emergencia para corregir una vulnerabilidad crítica de día cero explotada en la naturaleza, que afecta su navegador web Firefox y su cliente de correo electrónico Thunderbird.
Registrada como CVE-2023-4863, la falla de seguridad es causada por un desbordamiento del buffer en la biblioteca de códigos WebP (libwebp), cuyo impacto abarca desde fallas hasta la ejecución de código arbitrario.
«Abrir una imagen WebP maliciosa podría provocar un desbordamiento del buffer en el proceso de contenido. Somos conscientes de que este problema se está explotando en otros productos», dijo Mozilla en un aviso publicado el martes.
Mozilla abordó el día cero explotado en Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 y Thunderbird 115.2.2.
Aunque los detalles específicos sobre la explotación de la falla WebP en los ataques siguen sin revelarse, se está abusando de esta vulnerabilidad crítica en escenarios del mundo real.
Por lo tanto, se recomienda encarecidamente a los usuarios que instalen versiones actualizadas de Firefox y Thunderbird para proteger sus sistemas contra posibles ataques.
Como reveló Mozilla en el aviso de seguridad de hoy, el día cero CVE-2023-4863 también afecta a otro software que utiliza la versión vulnerable de la biblioteca de códigos WebP.
Uno de ellos es el navegador web Google Chrome, que fue parcheado contra esta falla el lunes cuando Google advirtió que es «consciente de que existe un exploit para CVE-2023-4863 en la naturaleza».
Las actualizaciones de seguridad de Chrome se están implementando para los usuarios en los canales estable y extendido y se espera que lleguen a toda la base de usuarios en los próximos días o semanas.
El equipo de Ingeniería y Arquitectura de Seguridad (SEAR) de Apple y The Citizen Lab de la Escuela Munk de la Universidad de Toronto fueron quienes informaron del error el 6 de septiembre.
Los investigadores de seguridad de Citizen Lab también tienen un historial de identificación y divulgación de vulnerabilidades de día cero frecuentemente explotadas en campañas de espionaje dirigidas por actores de amenazas afiliados al gobierno.
Estas campañas suelen centrarse en personas que corren un riesgo significativo de sufrir ataques, incluidos periodistas, políticos de oposición y disidentes.
El jueves, Apple también parchó dos días cero etiquetados por Citizen Lab como explotados en la naturaleza como parte de una cadena de exploits denominada BLASTPASS para implementar el software espía mercenario Pegasus de NSO Group en iPhones completamente parcheados.
Hoy, los parches BLASTPASS también fueron compatibles con modelos de iPhone más antiguos, incluidos los modelos de iPhone 6s, el iPhone 7 y la primera generación de iPhone SE.
Fuente y redacción: thehackernews.com
