Le développeur du navigateur Firefox, Mozilla, a publié mardi une mise à jour de sécurité pour corriger une grave vulnérabilité zero-day dans Firefox et Thunderbird qui a été activement exploitée dans la nature, a rapporté le Daily Planet. Les responsables ont résolu ce problème dans Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 et Thunderbird 115.2.2, et recommandent aux utilisateurs de mettre à niveau à temps.
Cette vulnérabilité, identifiée comme CVE-2023-4863, est une vulnérabilité de dépassement de tampon de tas dans le format d'image WebP qui peut conduire à l'exécution de code arbitraire lors du traitement d'images spécialement conçues. Selon la description de la base de données nationale américaine sur les vulnérabilités, cette vulnérabilité peut permettre à un attaquant distant d'effectuer des opérations d'écriture en mémoire hors limites via une page HTML spécialement conçue.
Hier, Google a révélé dans un bulletin de sécurité publié lundi qu'il avait pris conscience que la vulnérabilité Zero Day CVE-2023-4863 avait été utilisée dans des attaques sauvages. La nouvelle version est actuellement en cours de déploiement auprès des utilisateurs des canaux Stable et Extended Stable et devrait atteindre l'ensemble de la base d'utilisateurs dans les jours et semaines à venir.