Mozilla gấp rút vá lỗi khai thác Zero-Day nghiêm trọng trên WebP trên Firefox và Thunderbird

www.tuoitre.vn -   20/09/2023 08:00:00 469

Mozilla hôm thứ Ba đã phát hành các bản cập nhật bảo mật để giải quyết lỗ hổng zero-day nghiêm trọng trong Firefox và Thunderbird đã được khai thác rộng rãi, một ngày sau khi Google phát hành bản sửa lỗi cho sự cố này trong trình duyệt Chrome của mình.

Mozilla gấp rút vá lỗi khai thác Zero-Day nghiêm trọng trên WebP trên Firefox và Thunderbird

Thiếu sót được gán mã định danh CVE-2023-4863, là lỗ hổng tràn bộ đệm heap ở định dạng hình ảnh WebP có thể dẫn đến việc thực thi mã tùy ý khi xử lý một hình ảnh được tạo đặc biệt.

Mozilla cho biết trong một lời khuyên: “Việc mở một hình ảnh WebP độc hại có thể dẫn đến tràn bộ đệm heap trong quá trình xử lý nội dung”. “Chúng tôi biết vấn đề này đang bị khai thác ở các sản phẩm khác trong tự nhiên.”

Theo mô tả trên Cơ sở dữ liệu về lỗ hổng bảo mật quốc gia (NVD), lỗ hổng này có thể cho phép kẻ tấn công từ xa thực hiện việc ghi bộ nhớ ngoài giới hạn thông qua một trang HTML được tạo thủ công.

Kỹ thuật và Kiến trúc Bảo mật của Apple (SEAR) và Phòng thí nghiệm Công dân tại Trường Munk của Đại học Toronto đã được ghi nhận là đã báo cáo vấn đề bảo mật. Nó đã được giải quyết trong Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 và Thunderbird 115.2.2.

Sự phát triển này diễn ra một ngày sau khi Google phát hành bản sửa lỗi cho lỗ hổng tương tự trong Chrome, lưu ý rằng họ "biết rằng lỗ hổng CVE-2023-4863 tồn tại ngoài thực tế".

Tuần trước, Apple cũng đã xuất bản các bản cập nhật để vá hai lỗ hổng bảo mật bị khai thác tích cực mà Citizen Lab cho biết đã được vũ khí hóa như một phần của chuỗi khai thác iMessage không cần nhấp chuột có tên BLASTPASS để triển khai phần mềm gián điệp Pegasus trên iPhone đã được vá đầy đủ chạy iOS 16.6.

Mặc dù các chi tiết cụ thể liên quan đến việc khai thác lỗ hổng vẫn chưa được biết nhưng người ta nghi ngờ rằng tất cả chúng đều được lợi dụng để nhắm mục tiêu vào các cá nhân có nguy cơ cao, chẳng hạn như các nhà hoạt động, nhà bất đồng chính kiến và nhà báo.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...

03/12/2024 12:00:00 21
Nhiều người đã thử đủ mọi cách, thậm chí chia sẻ ảnh chụp màn hình chứa tin nhắn có tên này hoặc đổi...

Cuộc tấn công Microsoft 365 mới có thể p...

02/12/2024 12:00:00 29
Một cuộc tấn công phishing mới có thể truy cập vào tài khoản Microsoft 365, ngay cả khi mục tiêu đã ...

Người dùng chưa đủ 18 tuổi sẽ không được...

29/11/2024 12:00:00 28
Bộ lọc (filter) làm đẹp là một trong những tính năng quan trọng và gây nghiện cho đa số người dùng n...

Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...

28/11/2024 12:00:00 24
Các nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiế...

Kỹ thuật hack này có thể cách ly may tín...

27/11/2024 12:00:00 15
Để làm được điều đó, hacker sử dụng cáp SATA như là một ăng-ten không dây để truyền dữ liệu và thông...

Tính năng Email được bảo vệ mới của Gmai...

26/11/2024 08:00:00 26
Google đang chuẩn bị một tính năng mới có tên là Shielded Email cho phép người dùng tạo bí danh emai...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button