サイバーセキュリティ チームの仕事は、セキュリティ上の脆弱性の可能性を考え出し、それが発生した場合には常にその脆弱性を把握することです。このジョブは、悪意のある攻撃者が実際に問題を見つけて悪用する前に問題を捕捉するために実行されることが望ましいです。ただし、 すべての 脆弱性が期限内に発見されるわけではないため、通常はゼロデイ エクスプロイトや脆弱性が発生します。 Firefox と Thunderbird に影響する問題は、Mozilla によって修正されました。
Mozilla は、Firefox ブラウザと Thunderbird 電子メール クライアントに影響を与える重大なゼロデイ脆弱性に対処するために、一連の緊急セキュリティ アップデートを発行しました。 CVE-2023-4863 として追跡されているこの脆弱性自体は、WebP コード ライブラリ (libwebp) のヒープ バッファ オーバーフローの結果であり、この問題は、悪意のある WebP イメージが開かれたときにクラッシュや任意のコードの実行につながる可能性があります。Mozilla は次のことを認めています。この脆弱性はすでに悪用されています。このゼロデイ問題を修正するためのセキュリティ アップデートは、Firefox バージョン 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1、および Thunderbird 115.2.2 に対してリリースされており、同社はユーザーにバージョンを更新することを強く推奨しています。潜在的な攻撃からシステムを保護するための Firefox および Thunderbird のインストール。
さらに、同じ CVE-2023-4863 脆弱性は、Google Chrome など、脆弱な WebP コード ライブラリ バージョンを使用する他のソフトウェアにも影響を与えます。 Google は、この欠陥が積極的に悪用されていることを発見した後、すでに Chrome でパッチを適用していました。ゼロデイは、Apple のセキュリティ エンジニアリングおよびアーキテクチャ (SEAR) チームとトロント大学マンク スクールの The Citizen Lab によって 9 月 6 日に最初に報告されました。
Apple は、Citizen Lab の調査結果に応じて、完全にパッチが適用された iPhone に NSO グループの Pegasus スパイウェアを展開するために使用される BLASTPASS と呼ばれるエクスプロイト チェーンにリンクされた 2 つのゼロデイにもパッチを適用しました。これらのパッチは、iPhone 6s、iPhone 7、第 1 世代の iPhone SE などの古い iPhone モデルに展開されました。
Mozilla ソフトウェアに影響を与えるこの特定の問題については、修正がすでに全員に公開されているはずです。そのため、今すぐブラウザと電子メール クライアントを更新してください。今すぐアップデートが表示されない場合は、全員に公開されるまでに数日かかる可能性があります。
出典: ブリーピングコンピュータ
