网络安全团队的工作是提出可能的安全漏洞,并在出现时保持领先。最好完成这项工作是为了在恶意行为者实际设法找到它们并利用它们之前捕获任何问题。但是,并非每个漏洞都能按时捕获,这就是您通常最终获得零日漏洞和漏洞的方式。影响Firefox和Thunderbird的一个问题刚刚被Mozilla修复。
Mozilla发布了一系列紧急安全更新,以解决影响Firefox浏览器和Thunderbird电子邮件客户端的关键零日漏洞。该漏洞本身被跟踪为 CVE-2023-4863,是 WebP 代码库 (libwebp) 中堆缓冲区溢出的结果,当打开恶意 WebP 图像时,此问题可能导致崩溃或任意代码执行 — Mozilla 承认此漏洞已被利用。修复此零日漏洞的安全更新已针对Firefox版本117.0.1,Firefox ESR 115.2.1,Firefox ESR 102.15.1,Thunderbird 102.15.1和Thunderbird 115.2.2发布,该公司强烈建议用户更新其Firefox和Thunderbird安装,以保护其系统免受潜在攻击。
此外,相同的 CVE-2023-4863 漏洞会影响使用易受攻击的 WebP 代码库版本的其他软件,包括谷歌浏览器。谷歌在发现Chrome被积极利用后,已经在Chrome中修补了这个漏洞。零日漏洞最初是由苹果的安全工程和架构(SEAR)团队和多伦多大学蒙克学院的公民实验室于6月<>日报告的。
苹果公司针对公民实验室的调查结果,还修补了两个与名为BLASTPASS的漏洞利用链相关的零日漏洞,该漏洞链用于在完全修补的iPhone上部署NSO集团的Pegasus间谍软件。这些补丁被推广到较旧的iPhone型号,如iPhone 6s,iPhone 7和第一代iPhone SE。
对于这个影响 Mozilla 软件的特定问题,应该已经向所有人推出了修复程序,因此请确保立即更新您的浏览器和电子邮件客户端。如果您现在没有看到更新,则可能需要几天时间才能向所有人推出更新。
