Mozilla 紧急修补 Firefox 和 Thunderbird 中的 WebP 严重零日漏洞
💡
原文中文,约800字,阅读约需2分钟。
📝
内容提要
Mozilla发布安全更新修复Firefox和Thunderbird中的零日漏洞,该漏洞可能导致任意代码执行。漏洞已在其他产品中被广泛利用,可能允许远程攻击者执行越界内存写入。此外,苹果和谷歌也发布了补丁以修复这个漏洞。该漏洞已被武器化,成为名为BLASTPASS的零点击iMessage漏洞链的一部分,可在运行iOS 16.6系统的打满补丁的iPhone上部署Pegasus间谍软件。
🎯
关键要点
- Mozilla发布安全更新,修复Firefox和Thunderbird中的关键零日漏洞CVE-2023-4863。
- 该漏洞是WebP图像格式中的堆缓冲区溢出漏洞,可能导致任意代码执行。
- 打开恶意WebP图像可能导致内容进程中的堆缓冲区溢出,远程攻击者可通过特制HTML页面执行越界内存写入。
- 苹果和谷歌也发布了补丁修复该漏洞,谷歌表示该漏洞在野外被积极利用。
- 该漏洞已被武器化,成为名为BLASTPASS的零点击iMessage漏洞链的一部分。
- BLASTPASS漏洞链可在运行iOS 16.6系统的打满补丁的iPhone上部署Pegasus间谍软件。
- 怀疑这些漏洞被用来针对身份特殊的个人,如政治家和记者等。
➡️
