Lek aangetroffen in WebP-functionaliteit
Browserbouwer Mozilla heeft recentelijk een ernstig zerodaylek ontdekt in de WebP-library. Deze kwetsbaarheid raakt de gebruikers van Firefox en Thunderbird, zolang ze geen updates hebben doorgevoerd. De WebP-library, een onderdeel van het WebP-bestandsformaat ontwikkeld door Google om JPEG, PNG en GIF te vervangen, bevat een zwakke plek waardoor een aanvaller willekeurige code op het systeem kan uitvoeren zodra een schadelijke WebP-afbeelding wordt verwerkt. Deze wordt aangeduid als CVE-2023-4863.
Om de veiligheid van Firefox- en Thunderbird-gebruikers te waarborgen, heeft Mozilla onmiddellijk updates uitgebracht voor de getroffen softwareversies, waaronder Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 en Thunderbird 115.2.2. Hoewel er geen meldingen zijn van misbruik van WebP tegen Firefox en Thunderbird, is bekendgemaakt dat andere producten wel doelwit zijn geweest. Gebruikers worden geadviseerd om deze updates te installeren via de automatische updatefunctionaliteit of door deze te downloaden van Mozilla.org.
Interessant is dat dit zerodaylek is ontdekt door onderzoekers van zowel Apple als Citizen Lab, dezelfde teams die eerder twee andere zeroday-lekken in iOS hebben blootgelegd. Deze eerdere kwetsbaarheden werden benut voor het stilletjes infecteren van iPhones met de beruchte Pegasus-spyware. Op dit moment is het echter niet duidelijk of er enig verband bestaat tussen het WebP-zeroday-lek en de aanvallen met Pegasus, aangezien verdere details over de aanvallen niet zijn vrijgegeven.
Bron: Security.nl
Gerelateerde nieuwsberichten
13/02/2019 Firefox gaat auto-play video's voorzien van geluid blokkeren
15/01/2019 Mozilla stopt in september met standaard gebruik van Adobe Flash
11/10/2018 Mozilla stelt blokkeren van Symantec-certificaten voorlopig uit
Om te reageren heb je een account nodig en je moet ingelogd zijn.