Depois da Apple e do Google, a Mozilla também lançou patches para uma vulnerabilidade de dia zero relacionada ao processamento de imagens que foi explorada para fornecer spyware.
A existência de um novo dia zero veio à tona em 7 de setembro, quando a Apple anunciou atualizações do iOS e do macOS para corrigir uma vulnerabilidade explorada rastreada como CVE-2023-41064. A gigante da tecnologia descreveu o dia zero como um buffer overflow no componente ImageIO que pode ser explorado para execução arbitrária de código usando imagens especialmente criadas.
No mesmo dia, o grupo Citizen Lab da Munk School da Universidade de Toronto informou que a vulnerabilidade faz parte de uma nova exploração de clique zero chamada BlastPass que foi usado para atingir iPhones que executam a versão mais recente do iOS.
O Citizen Lab disse que a exploração, que foi usada para entregar o notório spyware Pegasus do Grupo NSO por meio de imagens maliciosas enviadas através do iMessage, tinha como alvo um funcionário de uma “organização da sociedade civil sediada em Washington DC com escritórios internacionais”.
Em 11 de setembro, o Google também anunciou atualizações do Chrome para corrigir uma vulnerabilidade crítica de dia zero, cuja existência foi relatada pela Apple e pelo Citizen Lab. O Google, que rastreia a falha como CVE-2023-4863, disse que o problema afeta o componente WebP usado por seu navegador.
WebP, formato de imagem desenvolvido pelo Google, é oferecido como alternativa ao JPEG, PNG e GIF. O tamanho significativamente menor das imagens WebP resulta no carregamento das páginas da web muito mais rápido.
O formato WebP também é suportado pelo navegador Firefox da Mozilla, bem como pelo cliente de e-mail Thunderbird, e a organização anunciou na terça-feira o lançamento atualizações isso deve corrigir o dia zero. No caso do Firefox e Thunderbird, a vulnerabilidade está no componente libwebp. Assim como o Google, a Mozilla rastreia o dia zero como CVE-2023-4863.
A Apple lançou inicialmente patches para o dia zero em 7 de setembro, mas apenas para as versões mais recentes do iOS e macOS. Em 11 de setembro, a empresa lançou correções para versões mais antigas de seus sistemas operacionais, inclusive para Macs (Monterrey e Grande Sul), e iPhones e iPads.
O dia zero parece ter sido explorado apenas em ataques direcionados por enquanto, mas dada a utilização generalizada do componente de processamento de imagens afetado, milhões de utilizadores podem estar em risco.
StackDiary fornece um análise técnica da vulnerabilidade com base no patch.
:
:
