Mozilla phát hành bản vá cho lỗ hổng zero-day mới đã bị khai thác, ảnh hưởng đến Firefox và Thunderbird

Mới đây, Mozilla đã phát hành các bản cập nhật bảo mật khẩn cấp để khắc phục lỗ hổng zero-day nghiêm trọng đã bị khai thác trong thực tế, ảnh hưởng đến trình duyệt web Firefox và ứng dụng email Thunderbird.

Có định danh CVE-2023-4863, lỗ hổng phát sinh do sự cố tràn bộ đệm heap trong thư viện mã WebP (libwebp), có khả năng dẫn đến việc thực thi mã tùy ý.

Trong một tư vấn bảo mật được công bố hôm thứ Ba, Mozilla cho biết: “Việc mở một hình ảnh WebP độc hại có thể dẫn đến tràn bộ đệm heap. Chúng tôi biết rằng vấn đề này đang bị khai thác trong thực tế”.

Mozilla đã giải quyết các lỗ hổng này với việc phát hành các phiên bản Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 và Thunderbird 115.2.2.

Mặc dù chi tiết cụ thể liên quan đến việc khai thác lỗ hổng WebP trong các cuộc tấn công vẫn chưa được tiết lộ, nhưng lỗ hổng nghiêm trọng này đang bị lạm dụng trong các cuộc tấn công trong thực tế.

Để giảm thiểu nguy cơ bị tấn công, người dùng cần nhanh chóng cài đặt các phiên bản cập nhật của Firefox và Thunderbird.

Mozilla tiết lộ thêm rằng lỗ hổng zero-day CVE-2023-4863 cũng ảnh hưởng đến các phần mềm khác sử dụng phiên bản thư viện mã nguồn WebP chứa lỗ hổng.

Một trong số đó là trình duyệt web Google Chrome, đã được vá lỗ hổng này vào thứ Hai khi Google cảnh báo rằng họ đã “biết về hoạt động khai thác CVE-2023-4863 đang tồn tại trên thực tế”.

Nguồn: bleepingcomputer.com.