Mozilla 紧急修补 Firefox 和 Thunderbird 中的 WebP 严重零日漏洞

Mozilla 周二发布了安全更新,修复了 Firefox 和 Thunderbird 中的一个关键零日漏洞。

该漏洞被标记为 CVE-2023-4863,是 WebP 图像格式中的堆缓冲区溢出漏洞,在处理特制图像时可能导致任意代码执行。

Mozilla 在一份公告中说,打开恶意 WebP 图像可能导致内容进程中的堆缓冲区溢出,这个漏洞在其他产品中被广泛利用。

根据国家漏洞数据库(NVD)的描述,该漏洞可能允许远程攻击者通过精心制作的 HTML 页面执行越界内存写入。

苹果公司安全工程与架构部(SEAR)和多伦多大学蒙克学院公民实验室报告了这一安全漏洞。该漏洞已在 Firefox 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1 和 Thunderbird 115.2.2 中得到修复。

在谷歌发布 Chrome 浏览器同一漏洞的修补程序后,第二天,谷歌也表示该漏洞在野外被积极利用。

上周,苹果也发布了补丁,以修复这两个被主动利用的安全漏洞。公民实验室称,这两个漏洞已被武器化,成为名为BLASTPASS的零点击iMessage漏洞链的一部分,可在运行iOS 16.6系统的打满补丁的iPhone上部署Pegasus间谍软件。

虽然有关漏洞利用的具体细节尚不清楚,但怀疑这些漏洞都被用来针对身份特殊的个人,如政治家和记者等。

相关推荐
天平16 分钟前
油猴脚本创建webworker踩坑记录
前端·javascript·typescript
原则猫2 小时前
前端基础大厦
前端
陈随易3 小时前
编程语言级别的Skill市场,AI Agent 的未来形态
前端·后端·程序员
SoaringHeart4 小时前
Flutter进阶:基于 EasyRefresh 的下拉刷新封装 n_easy_refresh_mixin.dart
前端·flutter
IT_陈寒6 小时前
Vite的热更新突然不香了,排查三小时差点砸键盘
前端·人工智能·后端
子兮曰6 小时前
Agency-Agents 深度解析:400+ AI 专家的"梦之队"如何重塑开发工作流
前端·后端·vibecoding
竹林8187 小时前
用 The Graph 查询链上数据实战:从手搓 RPC 到 Subgraph,我的 NFT 项目数据加载快了 10 倍
前端·javascript
妙码生花7 小时前
从 PHP 到 AI + Golang,程序员自救转型手记(十九):点选验证码代码逐行目检
前端·后端·go
Awu12278 小时前
⚡从零开发 Agent CLI(五)实现一个可治理、可扩展的工具系统
前端·人工智能·claude
咪库咪库咪8 小时前
Vue3-生命周期
前端