Mozilla แก้ไขช่องโหว่ Zero-day ที่สำคัญใน Firefox และ Thunderbird

418/66 (IT) ประจำวันศุกร์ที่ 15 กันยายน 2566

Mozilla ออกการอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day ระดับ critical ที่หมายเลข CVE-2023-4863 ใน Firefox และ Thunderbird ที่ถูกใช้ exploit ซึ่งช่องโหว่ดังกล่าวเป็น heap buffer overflow ใน WebP บน Google Chrome ก่อนเวอร์ชัน 116.0.5845.187 ช่องโหว่ดังกล่าวทำให้ผู้โจมตีจากระยะไกลสามารถเขียน out-of-bounds memory ผ่านหน้า HTML ที่สามารถถูกรันโค้ดโดยพลการ

ช่องโหว่ดังกล่าวได้รับการรายงานจาก Apple Security Engineering and Architecture (SEAR) และ The Citizen Lab ที่ Munk School ของมหาวิทยาลัย Toronto โดยที่ Mozilla ไม่ได้เปิดเผยรายละเอียดเกี่ยวกับการโจมตีที่ถูกใช้ประโยชน์จากช่องโหว่ ซึ่งช่องโหว่นี้ส่งผลกระทบต่อ Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 และ Thunderbird ช่องโหว่ CVE-2023-4863 ได้รับการแก้ไขแล้วด้วยการเปิดตัว Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 และ Thunderbird 115.2.2    

โดย Google ได้เพิ่งเปิดตัวการอัปเดตความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่เดียวกัน ( CVE-2023-4863 ) ใน Chrome ช่องโหว่ดังกล่าวเป็นช่องโหว่ที่ 4 ที่ถูกแก้ไขโดย Google แบบ Zero-day ในปี 2023

แหล่งข่าว https://securityaffairs.com/150763/hacking/mozilla-zero-day-firefox-thunderbird.html