A Mozilla lançou um comunicado esta semana alertando os usuários sobre uma vulnerabilidade que afeta seu navegador e aplicativo de e-mail.
A exploração do bug permitiria que um hacker assumisse o controle de um sistema afetado, disseram funcionários da Agência de Segurança Cibernética e de Infraestrutura (CISA) em seu próprio comunicado.
Marcada como CVE-2023-4863, a vulnerabilidade foi descoberta pela Apple Security Engineering and Architecture (SEAR) e pelo Citizen Lab da Universidade de Toronto, de acordo com a Mozilla.
A Mozilla classificou a vulnerabilidade como crítica e disse que está ciente de que ela está sendo explorada em outros produtos. A empresa resolveu o problema em patches para seus produtos Firefox, Firefox ESR e Thunderbird.
O problema diz respeito à biblioteca de códigos WebP, que é usada por vários navegadores e editores de imagens.
O Google – que lançou um patch para resolver o bug em seu navegador Chrome – disse que também está ciente de que existe uma exploração para CVE-2023-4863 à solta. A Microsoft publicou seu próprio comunicado sobre isso, observando que afeta o navegador Microsoft Edge.
Poucas informações foram fornecidas sobre como ele é explorado, mas a CISA adicionou o bug à sua lista de vulnerabilidades exploradas conhecidas nesta última quarta-feira, dando às agências civis federais até 4 de outubro para corrigi-lo.
O cofundador da Menlo Security, Poornima DeBolle, disse que o problema afeta todos os principais navegadores e é um exemplo de por que as vulnerabilidades que afetam os navegadores podem muitas vezes ser um “jogo de acertar uma toupeira para as equipes de segurança”.
“Os navegadores são distribuídos e usados em todas as organizações, tornando-os um desafio para corrigir. Uma única vulnerabilidade em um pacote de código aberto coloca todos em risco. Os invasores sabem disso e estão encontrando maneiras mais criativas de explorar esse elo fraco”, disse DeBolle.
Vários especialistas disseram que o fato de a vulnerabilidade ter sido descoberta pelo Citizen Lab indica que ela pode estar ligada a duaszero click exploits divulgadas na semana passada, conhecidas como “BlastPass”.
Um bug, rastreado como CVE-2023-41064, permitiu que dispositivos – incluindo alguns iPhones, iPads, Macs e Apple Watches – se tornassem vulneráveis a ataques ao processar “uma imagem criada com códigos maliciosos”, disse a Apple. Afeta a estrutura de E/S de imagem, especificamente.
Contudo o Citizen Lab não informou se o CVE-2023-4863 estava vinculado às descobertas do BlastPass.
Comments