Mozilla Salı günü, Google’ın Chrome tarayıcısında soruna yönelik bir düzeltme yayınlamasından bir gün sonra, Firefox ve Thunderbird’de vahşi ortamda aktif olarak kullanılan kritik bir sıfır gün güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı.
Tanımlayıcıya atanan eksiklik CVE-2023-4863WebP görüntü biçimindeki, özel hazırlanmış bir görüntüyü işlerken rastgele kod yürütülmesine neden olabilecek bir yığın arabellek taşması hatasıdır.
Mozilla bir danışma belgesinde, “Kötü amaçlı bir WebP görüntüsünün açılması, içerik sürecinde yığın arabellek taşmasına yol açabilir” dedi. “Bu sorunun doğadaki diğer ürünlerde de istismar edildiğinin farkındayız.”
Ulusal Güvenlik Açığı Veritabanındaki (NVD) açıklamaya göre bu kusur, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla sınırların dışında bellek yazma işlemi gerçekleştirmesine olanak tanıyabilir.
Apple Güvenlik Mühendisliği ve Mimarisi (SEAR) ve Toronto Üniversitesi Munk Okulu’ndaki Citizen Lab, güvenlik sorununu bildirdikleri için itibar kazandı. Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 ve Thunderbird 115.2.2’de bu sorun giderilmiştir.
Çok Savunmasız: Kimlik Saldırısı Yüzeyinin Durumunun Ortaya Çıkarılması
MFA’yı başardınız mı? PAM’mi? Hizmet hesabı koruması? Kuruluşunuzun kimlik tehditlerine karşı gerçekte ne kadar donanımlı olduğunu öğrenin
Becerilerinizi Güçlendirin
Bu gelişme, Google’ın Chrome’daki aynı kusur için düzeltmeler yayınlamasından bir gün sonra geldi ve “CVE-2023-4863’e yönelik bir istismarın ortalıkta mevcut olduğunun farkında olduğunu” belirtti.
Geçtiğimiz hafta Apple ayrıca, Citizen Lab’in söylediğine göre, Pegasus casus yazılımını iOS 16.6 çalıştıran tam yamalı iPhone’lara dağıtmak için BLASTPASS adlı sıfır tıklamalı iMessage istismar zincirinin bir parçası olarak silah haline getirildiğini söylediği aktif olarak istismar edilen iki güvenlik açığını kapatmak için yamalar yayınladı.
Kusurların kullanılmasına ilişkin spesifik ayrıntılar bilinmemekle birlikte, bunların tamamının aktivistler, muhalifler ve gazeteciler gibi yüksek risk altındaki bireyleri hedef almak için kullanıldığı düşünülüyor.