Używasz przeglądarki internetowej Firefox? Warto ją natychmiast zaktualizować, albowiem Mozilla właśnie załatała w niej groźną lukę bezpieczeństwa. To samo dotyczy jej klienta poczty elektronicznej – Thunderbird.
Firefox podatny na ataki
Luka zero day wykryta w przeglądarce Firefox i kliencie poczty Thunderbird została oznaczona jako CVE-2023-4863. Powoduje ją przepełnienie bufora sterty (ang. heap bufer overflow) w bibliotece kodu WebP (libwebp). Ta z kolei wywołuje awarie przeglądarki i pozwala cyberprzestępcom na uruchomienie w przeglądarce ofiary dowolnych pokleceń i dowolnego kodu.
„Otwarcie złośliwego obrazu WebP może doprowadzić do przepełnienia bufora sterty w procesie zawartości. Jesteśmy świadomi, że ten problem jest wykorzystywany [przez cyberprzestępców] w innych produktach.”, informuje Mozilla.
Szczegółowe informacje na temat wykorzystywania omawianej luki bezpieczeństwa przez hakerów nie zostały ujawnione. Pewne jest natomiast, ze ta luka jest wykorzystywana w rzeczywistych scenariuszach. O jej istnieniu 6 września poinformował zespół SEAR (Security Engineering and Architecture) Apple oraz Uniwersytet w Toronto.
Mozilla naprawiła już lukę, wydając Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 i Thunderbird 15.2.2. Jeśli korzystasz z tych programów, uruchom je i sprawdź, czy zaktualizowały się automatycznie. Jeśli tak się nie stało, dokonaj ręcznej aktualizacji.
Luka nie tylko w Firefoxie
Warto dodać, iż w nowo wydanym poradniku bezpieczeństwa Mozilla potwierdziła, iż opisywana podatność dotyczy nie tylko Firefoxa i Thunderbird, ale również innego oprogramowania korzystającego z podatnej na ataki wersji biblioteki kodu WebP. Mowa chociażby o przeglądarce Google Chrome.
Na szczęście, Google Chrome także otrzymało już odpowiednią aktualizację. Mam nadzieję, że to ostatnia luka zero day, która dotknęła Firefoxa i Chrome w tym roku.
Źródło: Bleeping Computer, fot. tyt. Canva