Adobe và Mozilla gấp rút cung cấp bản vá lỗ hổng zero-day nghiêm trọng
Trong ngày 12/9 vừa qua, Adobe và Mozilla đã phát hành các bản cập nhật bảo mật để giải quyết lỗ hổng zero-day nghiêm trọng trên các sản phẩm của mình. Hai lỗ hổng được biết đến lần lượt là CVE-2023-26369 của Adobe và CVE-2023-4863 của Mozilla.
Adobe
Phía công ty Adobe sau khi phát hiện lỗ hổng đã ngay lập tức phát hành bản cập nhật để giải quyết lỗ hổng zero-day CVE-2023-26369, được biết lỗ hổng này có thể được sử dụng để thực thi mã từ xa trên các máy mục tiêu. Mặc dù thông tin bổ sung về các cuộc tấn công vẫn chưa được tiết lộ nhưng lỗ hổng này được cho là ảnh hưởng đến Acrobat và Acrobat Reader DC, Acrobat 2020 và Acrobat Reader 2020, trên cả hệ thống Windows và macOS.
Danh sách đầy đủ các sản phẩm và phiên bản bị ảnh hưởng của Adobe:
Mozilla
Cũng như công ty Adobe, phía Mozilla vào ngày 12/9 đã phát hành các bản cập nhật bảo mật để giải quyết lỗ hổng zero-day nghiêm trọng trong Firefox và Thunderbird đã được khai thác rộng rãi. Lỗ hổng có mã định danh CVE-2023-4863 là lỗ hổng tràn bộ đệm heap ở định dạng WebP có thể dẫn đến việc thực thi mã tùy ý khi xử lý một hình ảnh được chế tạo đặc biệt.
Theo mô tả trên Cơ sở dữ liệu về lỗ hổng bảo mật quốc gia (NVD) của Mỹ, lỗ hổng của Mozilla có thể cho phép kẻ tấn công từ xa thực hiện việc ghi bộ nhớ ngoài giới hạn thông qua một trang HTML được tạo thủ công.
Các nhà nghiên cứu tại Bộ phận Kiến trúc và Kỹ thuật bảo mật của Apple (SEAR) và Đại học Toronto đã được ghi nhận là đã báo cáo lỗ hổng bảo mật này. Nó đã được giải quyết trong các phiên bản Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 và Thunderbird 115.2.2.
Mặc dù các chi tiết cụ thể liên quan đến việc khai thác lỗ hổng vẫn chưa được biết, nhưng các chuyên gia nghi ngờ rằng cả 2 lỗ hổng này đều được lợi dụng để nhắm mục tiêu vào các cá nhân đặc thù, chẳng hạn như các nhà hoạt động chính trị và nhà báo.
Theo Tạp chí An toàn thông tin