Firefox recebe correção para falha de segurança crítica
Por Felipe Demartini • Editado por Douglas Ciriaco |
A Mozilla liberou nesta semana uma atualização de segurança emergencial para o navegador Firefox, resolvendo uma brecha crítica que já vinha sendo utilizada em ataques contra os usuários. Bastava que os usuários abrissem uma imagem maliciosa em formato WebP, que poderia estar disponível em um site da internet, para que os cibercriminosos pudessem agir.
A CVE-2023-4863, como vem sendo rastreada, atinge o Firefox e também o cliente de e-mail Thunderbird. Ela estava presente em uma biblioteca de códigos relacionada à abertura do formato visual, com um arquivo manipulado podendo levar à escrita de dados fora dos limites da memória, possibilitando golpes que envolveriam desde o travamento do software e do dispositivo até a execução remota de ataques para instalação de vírus, por exemplo.
A Mozilla não deu mais detalhes sobre essa exploração, mas como sua utilização em ofensivas contra os usuários foi confirmada, recomenda a instalação das correções o mais rapidamente possível. Os updates também foram liberadas para versões corporativas ou gerenciadas em grande escala do Firefox e do Thunderbird, com todas devendo ser atualizadas para seus pacotes mais recentes.
Ainda segundo a organização, a brecha é do tipo zero-day, daquela que era desconhecida até mesmo dos desenvolvedores originais do software antes de começar a ser explorada pelos cibercriminosos. Ela foi relatada à Mozilla por pesquisadores em segurança da Apple e do The Citizen Lab, um laboratório da Universidade de Toronto, no Canadá, também voltado à pesquisas em proteção digital e tecnologia.
Chrome também recebeu atualização
Enquanto este alerta foi feito pela Mozilla, outros aplicativos que utilizem a biblioteca vulnerável também podem estar em risco. Os códigos da libwebp, como é chamada, também são usados no Google Chrome e o Google liberou atualizações, neste começo de semana, para resolver a questão.
No caso do navegador da gigante, os updates estão sendo liberados aos poucos, tanto para usuários finais e corporativos quanto para aqueles que recebem as versões Beta do navegador. A expectativa é que outros softwares que também utilizem os códigos vulneráveis sejam atualizados, enquanto a recomendação aos usuários é de aplicação das novas versões o mais rapidamente possível, para que fiquem protegidos de eventuais ataques.