Mozilla gấp rút vá lỗi khai thác Zero-Day nghiêm trọng trên WebP trên Firefox và Thunderbird

www.tuoitre.vn -   20/09/2023 08:00:00 366

Mozilla hôm thứ Ba đã phát hành các bản cập nhật bảo mật để giải quyết lỗ hổng zero-day nghiêm trọng trong Firefox và Thunderbird đã được khai thác rộng rãi, một ngày sau khi Google phát hành bản sửa lỗi cho sự cố này trong trình duyệt Chrome của mình.

Mozilla gấp rút vá lỗi khai thác Zero-Day nghiêm trọng trên WebP trên Firefox và Thunderbird

Thiếu sót được gán mã định danh CVE-2023-4863, là lỗ hổng tràn bộ đệm heap ở định dạng hình ảnh WebP có thể dẫn đến việc thực thi mã tùy ý khi xử lý một hình ảnh được tạo đặc biệt.

Mozilla cho biết trong một lời khuyên: “Việc mở một hình ảnh WebP độc hại có thể dẫn đến tràn bộ đệm heap trong quá trình xử lý nội dung”. “Chúng tôi biết vấn đề này đang bị khai thác ở các sản phẩm khác trong tự nhiên.”

Theo mô tả trên Cơ sở dữ liệu về lỗ hổng bảo mật quốc gia (NVD), lỗ hổng này có thể cho phép kẻ tấn công từ xa thực hiện việc ghi bộ nhớ ngoài giới hạn thông qua một trang HTML được tạo thủ công.

Kỹ thuật và Kiến trúc Bảo mật của Apple (SEAR) và Phòng thí nghiệm Công dân tại Trường Munk của Đại học Toronto đã được ghi nhận là đã báo cáo vấn đề bảo mật. Nó đã được giải quyết trong Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 và Thunderbird 115.2.2.

Sự phát triển này diễn ra một ngày sau khi Google phát hành bản sửa lỗi cho lỗ hổng tương tự trong Chrome, lưu ý rằng họ "biết rằng lỗ hổng CVE-2023-4863 tồn tại ngoài thực tế".

Tuần trước, Apple cũng đã xuất bản các bản cập nhật để vá hai lỗ hổng bảo mật bị khai thác tích cực mà Citizen Lab cho biết đã được vũ khí hóa như một phần của chuỗi khai thác iMessage không cần nhấp chuột có tên BLASTPASS để triển khai phần mềm gián điệp Pegasus trên iPhone đã được vá đầy đủ chạy iOS 16.6.

Mặc dù các chi tiết cụ thể liên quan đến việc khai thác lỗ hổng vẫn chưa được biết nhưng người ta nghi ngờ rằng tất cả chúng đều được lợi dụng để nhắm mục tiêu vào các cá nhân có nguy cơ cao, chẳng hạn như các nhà hoạt động, nhà bất đồng chính kiến và nhà báo.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Kaspersky hướng dẫn cách hạn chế rủi ro ...

05/07/2024 02:00:00 441
Với nhu cầu kết nối mạng mọi lúc mọi nơi, người dùng công nghệ có thói quen sử dụng Wi-Fi công cộng ...

Kaspersky nhận định tình trạng lây nhiễm...

01/07/2024 02:00:00 887
Báo cáo mới nhất của Kaspersky tiết lộ số vụ lây nhiễm trong các doanh nghiệp vừa và nhỏ (SMBs) đã t...

TeamViewer phát hiện vi phạm bảo mật tro...

28/06/2024 08:00:00 837
TeamViewer hôm thứ Năm tiết lộ rằng họ đã phát hiện ra "sự bất thường" trong môi trường CNTT nội bộ ...

Lỗi thanh taskbar phát sinh từ các bản c...

28/06/2024 12:00:00 71
Theo xác nhận từ Microsoft và tài liệu chính thức, khách hàng bị ảnh hưởng không thể tương tác với t...

Apple vá lỗ hổng Bluetooth của AirPods c...

27/06/2024 08:00:00 683
Apple đã phát hành bản cập nhật chương trình cơ sở cho AirPods có thể cho phép kẻ xấu truy cập vào t...

Copilot sẽ thành công nếu Microsoft thuy...

27/06/2024 12:00:00 74
Microsoft muốn biến Copilot trở thành Generative AI tiêu chuẩn để hỗ trợ khách hàng nhưng người dùng...
Xem thêm

LIÊN HỆ

Thông tin liên hệ