Threats

Mozilla segue Apple e Google e corrige exploração de zero day para entrega de spyware

Após a Apple e a Google, também a Mozilla corrigiu uma vulnerabilidade de zero day relacionada com o processamento de imagens e que foi explorada por um spyware

14/09/2023

Mozilla segue Apple e Google e corrige exploração de zero day para entrega de spyware

No passado dia 7 de setembro a Apple anunciou a existência de um novo zero day, introduzindo atualizações do iOS e do macOS para corrigir uma vulnerabilidade que foi explorada pelo spyware Pegasus do grupo NSO, sendo rastreada como CVE-2023-41064. A empresa descreveu o zero day como um buffer overflow no componente ImageIO, podendo ser explorado para a execução arbitrária de código com a utilização de imagens criadas.

O grupo Citizen Lab, sediado na Munk School da Universidade de Toronto, revelou no mesmo dia que a vulnerabilidade em questão integrava a BlastPass, uma nova exploração de zero-click que foi usada para atingir os iPhones com a versão mais recente do iOS. Através de imagens maliciosas enviadas pelo iMessage, a exploração foi utilizada para entregar o spyware Pegasus, tendo como alvo um funcionário de uma “organização da sociedade civil sediada em Washington DC com escritórios internacionais”, disse o Citizen Lab.

Dias depois, a 11 de setembro, a Google anunciou atualizações do Chrome para corrigir uma vulnerabilidade crítica de zero day, que tinha sido reportada pela Apple e pelo Citizen Lab. A Google, que rastreia a falha como CVE-2023-4863, disse que o problema afeta o WebP, o formato de imagem desenvolvido pela empresa.

O formato WebP também é suportado pelo navegador Firefox e pelo cliente de e-mails Thunderbird, da Mozilla, sendo que a vulnerabilidade esteve presente em ambos no componente libwebp. Na terça-feira, a empresa anunciou atualizações para a correção do zero day, com o mesmo número de rastreio utilizado pela Google.

Ainda a 11 de setembro, a Apple lançou atualizações para as versões mais antigas dos seus sistemas operacionais, tanto para Macs (Monterey e Big Sur) como para iPhones e iPads.

Até agora, tudo indica que o zero day foi explorado apenas em ataques direcionados. No entanto, milhões de utilizadores poderão estar em risco devido à utilização generalizada do componente de processamento de imagens afetado.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº21 Dezembro 2024

IT SECURITY Nº21 Dezembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.