Mozilla corrige-t-il la faille Zero-Day de WebP dans Firefox et Thunderbird ?

La faille, qui porte l’identifiant CVE-2023-4863, est un débordement de mémoire tampon dans le format d’image WebP qui pourrait entraîner une exécution de code arbitraire lors du traitement d’une image spécialement conçue.

« L’ouverture d’une image WebP malveillante peut entraîner un débordement de la mémoire tampon dans le processus de contenu », a déclaré Mozilla dans un avis. « Nous savons que ce problème est exploité dans d’autres produits dans la nature.

Selon la description figurant dans la base de données nationale des vulnérabilités (NVD), cette faille pourrait permettre à un attaquant distant d’effectuer une écriture mémoire hors limites par le biais d’une page HTML conçue à cet effet.

Le problème de sécurité a été signalé par Apple Security Engineering and Architecture (SEAR) et le Citizen Lab de la Munk School de l’Université de Toronto. Il a été corrigé dans Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 et Thunderbird 115.2.2.

Ce développement intervient un jour après que Google a publié des correctifs pour la même faille dans Chrome, notant qu’il est « conscient qu’un exploit pour CVE-2023-4863 existe dans la nature« .

La semaine dernière, Apple a également publié des mises à jour pour combler deux failles de sécurité activement exploitées qui, selon le Citizen Lab, ont été utilisées dans le cadre d’une chaîne d’exploitation iMessage sans clic nommée BLASTPASS pour déployer le logiciel espion Pegasus sur des iPhones entièrement corrigés fonctionnant sous iOS 16.. Bien que les détails spécifiques concernant l’exploitation des failles restent inconnus, on soupçonne qu’elles sont toutes exploitées pour cibler des individus présentant un risque élevé, tels que les activistes, les dissidents et les journalistes.