La série des mises à jour en urgence se poursuit et elle touche aussi le navigateur Firefox. Mozilla publie ainsi une mise à jour Firefox 117.0.1 qui comble la vulnérabilité de sécurité CVE-2023-4863. Une vulnérabilité critique pour laquelle des exploits sont disponibles sur internet.
Après Google Chrome, la publication de Mozilla confirme que le problème se situe au niveau d’une bibliothèque WebP vulnérable (un format d’image développé et rendu public par Google), même si cela ne veut pas nécessairement dire que Firefox est une cible active pour des attaquants.
» L’ouverture d’une image WebP malveillante peut entraîner un débordement de la mémoire tampon dans le processus de contenu. Nous savons que le problème est exploité pour d’autres produits dans la nature « , écrit Mozilla. À souligner que Thunderbird a droit à un patch (Thunderbird 102.15.1 ou 115.2.2).
Bientôt plus de détails ?
Pas plus que Google, Mozilla n’entre pas dans les détails pour le moment. La vulnérabilité 0-day a été signalée par Apple (Apple Security Engineering and Architecture) et le Citizen Lab de l’Université de Toronto la semaine dernière.
Les chercheurs en sécurité du Citizen Lab ont une expertise dans la découverte de vulnérabilités 0-day et utilisées dans des chaînes d’exploitation pour du cyberespionnage. Notamment afin d’implanter le spyware Pegasus de NSO Group.
Le Citizen Lab a dévoilé la semaine dernière le cas d’un exploit 0-click dit BLASTPASS pour déployer Pegasus sur iPhone. Il s’appuie sur une pièce jointe PassKit (Wallet) contenant une image malveillante et un envoi par iMessage.
Le framework BlastDoor d’Apple – qui donne le nom à l’exploit – est en lien avec la sécurité pour iMessage.