Mozilla, Firefox web tarayıcısını ve Thunderbird e-posta istemcisini etkileyen kritik bir sıfır gün güvenlik açığını acilen yamaladı. CVE-2023-4863 olarak adlandırılan güvenlik açığı, WebP kod kütüphanesindeki bir yığın tampon taşmasından kaynaklanıyor. Mozilla, kötü niyetli bir WebP görüntüsünün açılmasının içerik sürecinde bir yığın arabellek taşmasına yol açabileceği konusunda uyardı ve sorunun diğer ürünlerde de istismar edildiğini ekledi.

Sıfır gün açığı Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 ve Thunderbird 115.2.2'de ele alındı. WebP açığının siber saldırılarda (cybersecurity) kullanılmasına ilişkin ayrıntılar paylaşılmazken, kullanıcıların Firefox ve Thunderbird sürümlerini derhal güncellemeleri teşvik edildi.

Bununla birlikte, Mozilla'nın yazılımı savunmasız WebP kod kütüphanesi sürümünden etkilenen tek yazılım değildi. Google da Chrome web tarayıcısını yamalamak zorunda kaldı ve "CVE-2023-4863 için bir istismarın vahşi doğada var olduğu" uyarısında bulundu. Google'ın güvenlik güncellemeleri uygulamaya konuldu ve önümüzdeki haftalarda tüm kullanıcı tabanını kapsaması bekleniyor.

Güvenlik açığı ilk olarak Apple'ın Güvenlik Mühendisliği ve Mimarisi ekibi ve sıfırıncı gün açıklarını tespit edip ifşa etmesiyle bilinen Toronto Üniversitesi Munk School'daki The Citizen Lab tarafından rapor edildi. Citizen Lab kısa bir süre önce NSO Group'un kötü şöhretli Pegasus paralı casus yazılımını güncel iPhone'lara yerleştirmek için kullanılan iki sıfırıncı gün açığı tespit etmişti. Apple bu açıkları eski iPhone modellerine geri aktarmadan önce yamaladı.

Açığın ciddiyeti ve vahşi doğadaki varlığı göz önüne alındığında, kullanıcıların Firefox, Thunderbird ve Chrome sürümlerini derhal güncellemeleri tavsiye edilir. The Citizen Lab gibi kuruluşların bu tür güvenlik açıklarını tespit etmek ve ifşa etmek için çalışmasıyla, kullanıcılara potansiyel istismarlara karşı korunmaya yardımcı olmak için yazılımlarını güncel tutmanın kritik önemi hatırlatılmaktadır.

Kaynak link: https://newslinker.co/mozilla-takes-swift-action-to-address-critical-zero-day-vulnerability-in-firefox-and-thunderbird/