MOZILLA PARCHEA FIREFOX Y THUNDERBIRD
Mozilla ha publicado hoy actualizaciones de seguridad de emergencia para corregir una vulnerabilidad crítica de día cero descubierta recientemente, la cual está siendo activamente abusada por los hackers, que afecta a su navegador web Firefox y al cliente de correo electrónico Thunderbird. Identificado como CVE-2023-4863, el fallo de seguridad está causado por un desbordamiento del búfer en la biblioteca de código WebP (libwebp), cuyo impacto abarca desde bloqueos hasta la ejecución arbitraria de código.
«Abrir una imagen WebP maliciosa podría provocar un desbordamiento del búfer en el proceso de contenido. Somos conscientes de que este problema está siendo explotado en otros productos», dijo Mozilla en un aviso publicado el martes. Mozilla ha solucionado el problema en Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 y Thunderbird 115.2.2.
Aunque no se han revelado detalles concretos sobre la explotación del fallo WebP en los ataques, esta vulnerabilidad crítica está siendo utilizada en situaciones reales. Por tanto, se recomienda encarecidamente a los usuarios que instalen versiones actualizadas de Firefox y Thunderbird para proteger sus sistemas contra posibles ataques.
Como ha revelado Mozilla en su aviso de seguridad de hoy, el día cero CVE-2023-4863 también afecta a otros programas que utilizan la versión vulnerable de la biblioteca de código WebP. Uno de ellos es el navegador web Google Chrome, que fue parcheado contra este fallo el lunes, cuando Google advirtió de que «es consciente de que existe un exploit para CVE-2023-4863 el cual está siendo activamente utilizado».
Las actualizaciones de seguridad de Chrome se están desplegando a los usuarios en los canales estables y estables extendidos y se espera que lleguen a toda la base de usuarios en los próximos días o semanas. El equipo de Ingeniería y Arquitectura de Seguridad (SEAR) de Apple y el Citizen Lab de la Escuela Munk de la Universidad de Toronto fueron quienes informaron del fallo el 6 de septiembre.
Los investigadores de seguridad de Citizen Lab también tienen un historial de identificación y divulgación de vulnerabilidades de día cero que suelen explotarse en campañas de espionaje selectivo dirigidas por agentes de amenazas afiliados a gobiernos.
Estas campañas suelen centrarse en personas que corren un riesgo significativo de ser atacadas, como periodistas, políticos de la oposición y disidentes.
El jueves, Apple también parcheó dos zero-days etiquetados por Citizen Lab existentes y activamente empleados como parte de una cadena de exploits apodada BLASTPASS para desplegar el spyware mercenario Pegasus de NSO Group en iPhones totalmente parcheados.
Hoy, los parches BLASTPASS también se han aplicado a modelos de iPhone más antiguos, incluidos los modelos iPhone 6s, iPhone 7 y la primera generación de iPhone SE.
Si tienes alguna de las dos apps instaladas en Deepin. Recuerda que Tienda Deepines te ofrece las últimas versiones de ambas aplicaciones, Si tienes instalada dichas apps en formato Flatpak u otros recuerda que deberás actualizarlas de inmediato siguiendo los procedimientos normales de actualización en dichos formatos.
Alguien sabe si esta vulnerabilidad afecta Microsoft Edge? gracias.
Ivan, segun tengo entendido, el fallo afecta praticamente todos los navegadores y cualquier otra aplicacion que usa el protocolo webp.
Todos los navegadores, pero Edge creo que lo arreglo hace días por lo que tengo entendido.