Mozilla a publié aujourd’hui des mises à jour de sécurité d’urgence pour corriger une vulnérabilité critique du jour zéro exploitée à l’état sauvage, affectant son navigateur Web Firefox et son client de messagerie Thunderbird.
Suivie comme CVE-2023-4863, la faille de sécurité est causée par un débordement de tampon de tas dans la bibliothèque de code WebP (libwebp), dont l’impact s’étend des plantages à l’exécution de code arbitraire.
« L’ouverture d’une image WebP malveillante pourrait entraîner un débordement de la mémoire tampon dans le processus de contenu. Nous sommes conscients que ce problème est exploité dans d’autres produits », a déclaré Mozilla dans un avis publié mardi.
Mozilla a résolu le problème du jour zéro exploité dans Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 et Thunderbird 115.2.2.
Même si les détails spécifiques concernant l’exploitation de la faille WebP dans les attaques restent confidentiels, cette vulnérabilité critique est exploitée de manière abusive dans des scénarios réels.
Par conséquent, il est fortement conseillé aux utilisateurs d’installer des versions mises à jour de Firefox et Thunderbird pour protéger leurs systèmes contre les attaques potentielles.
Comme Mozilla l’a révélé dans l’avis de sécurité d’aujourd’hui, le jour zéro CVE-2023-4863 affecte également d’autres logiciels utilisant la version vulnérable de la bibliothèque de codes WebP.
L’un d’eux est le navigateur Web Google Chrome, qui a été corrigé contre cette faille lundi lorsque Google a averti qu’il était « conscient qu’un exploit pour CVE-2023-4863 existe dans la nature ».
Les mises à jour de sécurité de Chrome sont en cours de déploiement auprès des utilisateurs des canaux stables et étendus et devraient atteindre l’ensemble de la base d’utilisateurs au cours des prochains jours ou semaines.
L’équipe d’ingénierie et d’architecture de sécurité d’Apple (SEAR) et le Citizen Lab de la Munk School de l’Université de Toronto sont ceux qui ont signalé le bug le 6 septembre.
Les chercheurs en sécurité du Citizen Lab ont également l’habitude d’identifier et de divulguer des vulnérabilités Zero Day fréquemment exploitées dans le cadre de campagnes d’espionnage ciblées menées par des acteurs menaçants affiliés au gouvernement.
Ces campagnes se concentrent généralement sur les individus présentant un risque important d’attaque, notamment les journalistes, les hommes politiques de l’opposition et les dissidents.
Jeudi, Apple a également corrigé deux jours zéro marqués par Citizen Lab comme étant exploités à l’état sauvage dans le cadre d’une chaîne d’exploitation baptisée BLASTPASS pour déployer le logiciel espion mercenaire Pegasus de NSO Group sur des iPhones entièrement corrigés.
Aujourd’hui, les correctifs BLASTPASS ont également été rétroportés sur les anciens modèles d’iPhone, notamment les modèles d’iPhone 6s, l’iPhone 7 et la première génération d’iPhone SE.