Mozilla gấp rút vá lỗi khai thác Zero-Day nghiêm trọng trên WebP trên Firefox và Thunderbird
Mozilla hôm thứ Ba đã phát hành các bản cập nhật bảo mật để giải quyết lỗ hổng zero-day nghiêm trọng trong Firefox và Thunderbird đã được khai thác rộng rãi, một ngày sau khi Google phát hành bản sửa lỗi cho sự cố này trong trình duyệt Chrome của mình.
Thiếu sót được gán mã định danh CVE-2023-4863, là lỗ hổng tràn bộ đệm heap ở định dạng hình ảnh WebP có thể dẫn đến việc thực thi mã tùy ý khi xử lý một hình ảnh được tạo đặc biệt.
Mozilla cho biết trong một lời khuyên: “Việc mở một hình ảnh WebP độc hại có thể dẫn đến tràn bộ đệm heap trong quá trình xử lý nội dung”. “Chúng tôi biết vấn đề này đang bị khai thác ở các sản phẩm khác trong tự nhiên.”
Theo mô tả trên Cơ sở dữ liệu về lỗ hổng bảo mật quốc gia (NVD), lỗ hổng này có thể cho phép kẻ tấn công từ xa thực hiện việc ghi bộ nhớ ngoài giới hạn thông qua một trang HTML được tạo thủ công.
Kỹ thuật và Kiến trúc Bảo mật của Apple (SEAR) và Phòng thí nghiệm Công dân tại Trường Munk của Đại học Toronto đã được ghi nhận là đã báo cáo vấn đề bảo mật. Nó đã được giải quyết trong Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 và Thunderbird 115.2.2.
Sự phát triển này diễn ra một ngày sau khi Google phát hành bản sửa lỗi cho lỗ hổng tương tự trong Chrome, lưu ý rằng họ "biết rằng lỗ hổng CVE-2023-4863 tồn tại ngoài thực tế".
Tuần trước, Apple cũng đã xuất bản các bản cập nhật để vá hai lỗ hổng bảo mật bị khai thác tích cực mà Citizen Lab cho biết đã được vũ khí hóa như một phần của chuỗi khai thác iMessage không cần nhấp chuột có tên BLASTPASS để triển khai phần mềm gián điệp Pegasus trên iPhone đã được vá đầy đủ chạy iOS 16.6.
Mặc dù các chi tiết cụ thể liên quan đến việc khai thác lỗ hổng vẫn chưa được biết nhưng người ta nghi ngờ rằng tất cả chúng đều được lợi dụng để nhắm mục tiêu vào các cá nhân có nguy cơ cao, chẳng hạn như các nhà hoạt động, nhà bất đồng chính kiến và nhà báo.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...
Cuộc tấn công Microsoft 365 mới có thể p...
Người dùng chưa đủ 18 tuổi sẽ không được...
Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...
Kỹ thuật hack này có thể cách ly may tín...
Tính năng Email được bảo vệ mới của Gmai...
- BLACK FRIDAY khuyến mãi cực sốc – Bảo vệ máy tính ...
- Các mối đe dọa an ninh mạng tại Việt Nam gia tăng ...
- Hướng dẫn cài đặt và kích hoạt Kaspersky For Iphon...
- Các cuộc tấn công ransomware tiếp tục nhắm vào nhi...
- Nhóm tin tặc Lazarus khai thác lỗ hổng zero-day tr...
- Chương trình Khuyến mãi “Vòng quay may mắn” 2024
- ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tên này
- Cuộc tấn công Microsoft 365 mới có thể phá vỡ hàng...
- Chương trình Khuyến mãi “Vòng quay may mắn” 2024
- Người dùng chưa đủ 18 tuổi sẽ không được dùng filt...
- Thông báo thời gian kì nghỉ công ty năm 2024
- Top 8 phần mềm chatbot AI miễn phí phổ biến hiện n...