Картинки WebP становятся оружием: Mozilla и Google борются с 0day в своих браузерах

Mozilla выпустила обновления безопасности для устранения критической уязвимости нулевого дня в Firefox и Thunderbird, которая активно использовалась в реальных условиях эксплуатации, на следующий день после того, как Google выпустила исправление этой проблемы в браузере Chrome.

Уязвимость переполнения буфера кучи CVE-2023-4863 может привести к выполнению произвольного кода при открытии специально созданного вредоносного изображения WebP. Недостаток может позволить удаленному злоумышленнику выполнить запись за пределы памяти через созданную HTML-страницу.

О проблеме безопасности сообщили компании Apple Security Engineering and Architecture (SEAR) и Citizen Lab в школе Мунка при Университете Торонто. Проблема была решена в Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 и Thunderbird 115.2.2.

Недавно Агентство кибербезопасности и защиты инфраструктуры США (CISA) добавило критическую уязвимость CVE-2023-33246 (CVSS: 9.8), влияющую на Apache RocketMQ, в свой каталог известных эксплуатируемых уязвимостей. Злоумышленники могут использовать уязвимость для выполнения произвольных команд от имени пользователей системы, на которой работает RocketMQ. Хакер может вызвать ошибку, используя функцию обновления конфигурации или подделав содержимое протокола RocketMQ.

Также в начале сентября на площадке Reddit появилась информация об обнаружении серьёзной уязвимости безопасности в клиенте AtlasVPN для операционной системы Linux. Исследователь кибербезопасности, пожелавший остаться анонимным, опубликовал рабочий PoC-эксплойт и продемонстрировал общественности, как злоумышленники могут, разместив код эксплойта на своём вредоносном сайте, получить доступ к реальному IP-адресу любого пользователя Linux-версии VPN-клиента.