Mozilla выпустила обновления, устраняющие критическую уязвимость в Firefox и Thunderbird. На сегодняшний день есть информацию о доступности соответствующего эксплойта, который злоумышленники используют в реальных атаках.
Брешь получила идентификатор CVE-2023-4863 и представляет собой возможность переполнения буфера в процессе обработки формата изображений WebP.
Если условной жертве подсунуть специально созданный медиафайл, у атакующего появится возможность выполнить вредоносный код.
«Попытка открыть файл в формате WebP может привести к переполнению буфера. Мы в курсе, что киберпреступники уже используют этот баг в атаках», — пишет Mozilla в уведомлении.
Удалённый злоумышленник может подготовить специальную HTML-страницу и с её помощью прочитать память за пределами границ. С выходом Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 и Thunderbird 115.2.2 разработчики закрыли брешь.
Напомним, Microsoft также порадовала патчами с выходом сентябрьских обновлений.
