Mozilla 今天發布了緊急安全更新，以修復一個已經在外部被利用的重要零日漏洞，該漏洞影響了Firefox 網頁瀏覽器和Thunderbird 電子郵件客戶端。該安全漏洞被追踪為CVE-2023-4863，是由WebP 代碼庫（libwebp）中的堆緩衝區溢出引起的，其影響範圍從崩潰到任意代碼執行。

Mozilla 在本週二發布的一份公告中說：”我們發現這個問題在其他產品中被廣泛利用。打開惡意WebP 圖像可能導致內容進程中的堆緩衝區溢出。”Mozilla 在Firefox 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1 和Thunderbird 115.2.2 中解決了這個零日漏洞。儘管有關WebP 漏洞在攻擊中被利用的具體細節仍未披露，但這一關鍵漏洞已在實際場景中被濫用。因此，強烈建議用戶安裝更新版本的Firefox 和Thunderbird，以保護系統免受潛在攻擊。正如Mozilla 在今天的安全公告中透露的那樣，CVE-2023-4863 零日漏洞還影響到使用易受攻擊的WebP 代碼庫版本的其他軟件。

其中之一就是Google Chrome 瀏覽器，該瀏覽器已於週一針對這一漏洞打了補丁，當時Google警告說”意識到CVE-2023-4863 的漏洞存在於外部”。Chrome 瀏覽器的安全更新正在向穩定版和擴展穩定版渠道的用戶推出，預計將在未來幾天或幾週內覆蓋整個用戶群。蘋果公司的安全工程與架構（SEAR）團隊和多倫多大學蒙克學院（University of Toronto’s Munk School）的公民實驗室（The Citizen Lab）於9 月6 日報告了這一漏洞。Citizen Lab 的安全研究人員還曾發現並披露過零日漏洞，這些漏洞經常被政府附屬威脅機構領導的有針對性的間諜活動所利用。這些間諜活動通常針對面臨重大攻擊風險的個人，包括記者、反對派政治家和持不同政見者。本週四，蘋果公司還修補了Citizen Lab 標記的兩個零點漏洞，這兩個零點漏洞被稱為BLASTPASS 漏洞利用鏈的一部分，可將NSO Group 的Peg ASUS僱傭軍間諜軟件部署到已打補丁的iPhone上。今天，BLASTPASS 補丁還被回傳至舊版iPhone 機型，包括iPhone 6s 機型、iPhone 7 和第一代iPhone SE。