W szybkiej reakcji na pojawiające się zagrożenie bezpieczeństwa Mozilla udostępniła awaryjną łatkę dla swojej przeglądarki internetowej Firefox i klienta pocztowego Thunderbird, których celem jest załatanie krytycznej luki dnia zerowego. Luka, zidentyfikowana jako CVE-2023-4863, wpływa na format obrazu WebP i według doniesień została już wykorzystana w atakach hakerskich. Ruch Mozilli następuje dzień po podobnej aktualizacji od Google, która załatała tę samą lukę w przeglądarce Chrome.
Co wiemy o awaryjnej łatce Mozilli?
Luka polega na przepełnieniu bufora sterty i wpływa na przetwarzanie obrazów WebP. Według poradnika bezpieczeństwa Mozilli otwarcie złośliwego obrazu WebP może prowadzić do przepełnienia bufora sterty w procesie tworzenia treści.
Krajowa baza danych o lukach (NVD) sklasyfikowała ją jako krytyczną, stwierdzając, że osoby atakujące zdalnie mogą wykorzystać tę lukę w celu wykonania zapisu w pamięci poza granicami (OOB) za pośrednictwem specjalnie spreparowanej strony HTML.
Kto odkrył tę lukę?
Krytyczna luka została zgłoszona przez Apple Security Engineering and Architecture (SEAR) oraz Citizen Lab w szkole Munk School na Uniwersytecie w Toronto. Ich wysiłki przyczyniły się do ograniczenia znacznego ryzyka dla użytkowników różnych platform.
Wersje oprogramowania, które warto zaktualizować
Mozilla naprawiła tę lukę w następujących wersjach oprogramowania:
- Firefox 117.0.1
- Firefox ESR 115.2.1
- Firefox ESR 102.15.1
- Thunderbird 102.15.1
- Thunderbird 115.2.2
Implikacje i kolejne kroki
Szybkie działanie Mozilli pokazuje, jak poważna jest ta luka, zwłaszcza że została ona wykorzystana w środowisku naturalnym. Takie szybkie reakcje mają kluczowe znaczenie dla utrzymania zaufania i bezpieczeństwa użytkowników w miarę jak atakujący stają się coraz bardziej wyrafinowani.
– Warto, aby użytkownicy Mozilli jak najszybciej zaktualizowali swoje przeglądarki, ponieważ w ten sposób zmniejszą ryzyko związane z tą krytyczną luką. Niezastosowanie się do tego może skutkować wykonaniem dowolnego kodu, umożliwiając atakującym przejęcie kontroli nad systemami, których dotyczy problem – mówi Mariusz Politowicz z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.
Ponieważ luka ta dotyczy wielu przeglądarek, w tym przeglądarki Google Chrome, podkreśla ona wieloplatformowy charakter takich zagrożeń bezpieczeństwa oraz znaczenie wspólnych działań społeczności technologicznej.