Երեքշաբթի օրը Mozilla-ն Firefox-ում և Thunderbird-ում թողարկեց անվտանգության սպասված թարմացումներ՝ zero-day կրիտիկական խոցելիությունը շտկելու համար, որն ակտիվորեն շահագործվում է զանգվածային լսարանում:
CVE-2023-4863-ին վերագրված խոցելիությունը WebP image-ի բուֆերի խոցելիություն է, որը կարող է հանգեցնել կամայական կոդի կատարման:
Apple Security Engineering-ը, Architecture-ը (SEAR) և Տորոնտոյի համալսարանի Munk դպրոցի Citizen Lab-ը համարվել են խնդրի արձանագրման առաջնամարտիկները: Այն հասցեագրվել է Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 և Thunderbird 115.2.2 տարբերակներին:
Զարգացումը տեղի ունեցավ մեկ օր անց այն բանից հետո, երբ Google-ը Chrome-ում շտկեց միևնույն խոցելիությունը՝ նշելով, որ «քաջատեղյակ է CVE-2023-4863-ի չարաշահման մասին»:
Անցյալ շաբաթ Apple-ը նաև հրապարակեց թարմացումներ՝ երկու այլ շահագործվող անվտանգության hole-եր իրար միացնելու համար, որոնք, ըստ Citizen Lab-ի, հանդես են գալիս որպես BLASTPASS՝ zero-click iMessage շահագործման շղթայի մաս: Նպատակը Pegasus լրտեսական ծրագիրը iOS 16.6-ով աշխատող iPhone-ների վրա տեղակայումն է:
Խոցելիության շահագործման մանրամասները դեռևս մնում են անհայտ, սակայն պարզ է, որ դրանք օգտագործվում են թիրախավորելու այն անձանց, ովքեր ռիսկային թիրախի տակ են, ինչպիսիք են՝ ակտիվիստները, այլախոհները և լրագրողները:
Աղբյուրը՝ https://thehackernews.com/
