Mozilla, Firefox web tarayıcısını ve Thunderbird e-posta istemcisini etkileyen, yaygın olarak kullanılan kritik bir sıfır gün güvenlik açığını düzeltmek için bugün acil güvenlik güncellemelerini yayınladı.
CVE-2023-4863 olarak izlenen güvenlik açığı, WebP kod kitaplığındaki (libwebp) etkisi çökmelerden rastgele kod yürütmeye kadar uzanan bir yığın arabellek taşmasından kaynaklanıyor.
Mozilla, Salı günü yayınlanan bir danışma belgesinde, “Kötü amaçlı bir WebP görüntüsünün açılması, içerik sürecinde yığın arabellek taşmasına neden olabilir. Bu sorunun, mevcut diğer ürünlerde de istismar edildiğinin farkındayız.” dedi.
Mozilla, Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 ve Thunderbird 115.2.2’de istismar edilen sıfır gün sorununa çözüm buldu.
WebP kusurunun saldırılarda kullanılmasına ilişkin belirli ayrıntılar açıklanmasa da, bu kritik güvenlik açığı gerçek dünya senaryolarında kötüye kullanılıyor.
Bu nedenle, kullanıcıların sistemlerini olası saldırılara karşı korumak için Firefox ve Thunderbird’ün güncellenmiş sürümlerini yüklemeleri şiddetle tavsiye edilir.
Mozilla’nın bugünkü güvenlik danışma belgesinde açıkladığı gibi, CVE-2023-4863 sıfır gün aynı zamanda savunmasız WebP kod kitaplığı sürümünü kullanan diğer yazılımları da etkiliyor.
Bunlardan biri, Pazartesi günü Google’ın “CVE-2023-4863’e yönelik bir istismarın ortalıkta mevcut olduğunun farkında olduğu” uyarısında bulunmasıyla bu kusura karşı yama uygulanan Google Chrome web tarayıcısıdır.
Chrome güvenlik güncellemeleri Mevcut Ürün ve Genişletilmiş kararlı ürün kanallarındaki kullanıcılara sunuluyor ve önümüzdeki günlerde veya haftalarda kullanıcı tabanının tamamına ulaşması bekleniyor.
Hatayı 6 Eylül’de bildirenler Apple’ın Güvenlik Mühendisliği ve Mimarisi (SEAR) ekibi ve Toronto Üniversitesi Munk Okulu’ndaki Citizen Lab’dı.
Citizen Lab’deki güvenlik araştırmacıları aynı zamanda hükümete bağlı tehdit aktörleri tarafından yürütülen hedefli casusluk kampanyalarında sıklıkla kullanılan sıfır gün güvenlik açıklarını belirleme ve ifşa etme konusunda da bir geçmişe sahiptir.
Bu kampanyalar genellikle gazeteciler, muhalif politikacılar ve muhalifler dahil olmak üzere ciddi saldırı riski altındaki bireylere odaklanıyor.
Perşembe günü Apple, NSO Group’un Pegasus paralı asker casus yazılımını tamamen yamalı iPhone’lara dağıtmak için BLASTPASS adlı bir istismar zincirinin parçası olarak vahşi doğada istismar edildiği gerekçesiyle Citizen Lab tarafından etiketlenen iki sıfır günü de yamaladı.
Bugün, BLASTPASS yamaları iPhone 6s modelleri, iPhone 7 ve ilk nesil iPhone SE dahil olmak üzere eski iPhone modellerine de desteklendi.