Tugas tim keamanan siber adalah menemukan kemungkinan kerentanan keamanan dan terus memantaunya kapan pun kerentanan tersebut muncul. Sebaiknya, pekerjaan ini dilakukan untuk mengetahui masalah apa pun sebelum pihak jahat benar-benar berhasil menemukannya dan mengeksploitasinya. Namun, tidak semua kerentanan terdeteksi tepat waktu, sehingga biasanya Anda mendapatkan eksploitasi dan kerentanan zero-day. Salah satu yang mempengaruhi Firefox dan Thunderbird baru saja diperbaiki oleh Mozilla.
Mozilla telah mengeluarkan serangkaian pembaruan keamanan darurat untuk mengatasi kerentanan kritis zero-day yang mempengaruhi browser Firefox dan klien email Thunderbird. Kerentanan itu sendiri, yang dilacak sebagai CVE-2023-4863, adalah hasil dari heap buffer overflow di perpustakaan kode WebP (libwebp), dan masalah ini dapat menyebabkan crash atau eksekusi kode arbitrer ketika gambar WebP berbahaya dibuka — Mozilla mengakui hal itu kerentanan ini telah dieksploitasi secara liar. Pembaruan keamanan untuk memperbaiki zero-day ini dirilis untuk Firefox versi 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1, dan Thunderbird 115.2.2, dan perusahaan sangat menyarankan pengguna untuk memperbarui Instalasi Firefox dan Thunderbird untuk melindungi sistem mereka dari potensi serangan.
Selain itu, kerentanan CVE-2023-4863 yang sama memengaruhi perangkat lunak lain yang menggunakan versi pustaka kode WebP yang rentan, termasuk Google Chrome. Google telah menambal kelemahan ini di Chrome setelah mengetahui bahwa kelemahan tersebut telah dieksploitasi secara aktif. Zero-day awalnya dilaporkan pada tanggal 6 September oleh tim Teknik Keamanan dan Arsitektur (SEAR) Apple dan The Citizen Lab di Munk School Universitas Toronto.
Apple, sebagai tanggapan atas temuan Citizen Lab, juga menambal dua zero-day yang terkait dengan rantai eksploitasi yang disebut BLASTPASS, digunakan untuk menyebarkan spyware Pegasus NSO Group pada iPhone yang dipatch sepenuhnya. Tambalan ini diluncurkan ke model iPhone lama, seperti iPhone 6s, iPhone 7, dan iPhone SE generasi pertama.
Untuk masalah khusus yang memengaruhi perangkat lunak Mozilla ini, perbaikan seharusnya sudah diluncurkan ke semua orang, jadi pastikan untuk perbarui browser dan klien email Anda sekarang. Jika Anda tidak melihat pembaruan sekarang, mungkin diperlukan waktu beberapa hari hingga pembaruan tersebut diluncurkan ke semua orang.
Sumber: Bleeping Computer