Mozilla ออกการอัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ Zero-day ระดับ critical ที่หมายเลข CVE-2023-4863 ใน Firefox และ Thunderbird ที่ถูกใช้ exploit ซึ่งช่องโหว่ดังกล่าวเป็น heap buffer overflow ใน WebP บน Google Chrome ก่อนเวอร์ชัน 116.0.5845.187 ช่องโหว่ดังกล่าวทำให้ผู้โจมตีจากระยะไกลสามารถเขียน out-of-bounds memory ผ่านหน้า HTML ที่สามารถถูกรันโค้ดโดยพลการ
ช่องโหว่ดังกล่าวได้รับการรายงานจาก Apple Security Engineering and Architecture (SEAR) และ The Citizen Lab ที่ Munk School ของมหาวิทยาลัย Toronto โดยที่ Mozilla ไม่ได้เปิดเผยรายละเอียดเกี่ยวกับการโจมตีที่ถูกใช้ประโยชน์จากช่องโหว่ ซึ่งช่องโหว่นี้ส่งผลกระทบต่อ Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 และ Thunderbird ช่องโหว่ CVE-2023-4863 ได้รับการแก้ไขแล้วด้วยการเปิดตัว Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 และ Thunderbird 115.2.2
โดย Google ได้เพิ่งเปิดตัวการอัปเดตความปลอดภัยฉุกเฉินเพื่อแก้ไขช่องโหว่เดียวกัน ( CVE-2023-4863 ) ใน Chrome ช่องโหว่ดังกล่าวเป็นช่องโหว่ที่ 4 ที่ถูกแก้ไขโดย Google แบบ Zero-day ในปี 2023
แหล่งข่าว https://securityaffairs.com/150763/hacking/mozilla-zero-day-firefox-thunderbird.html & https://www.thaicert.or.th/2023/09/15/mozilla-%e0%b9%81%e0%b8%81%e0%b9%89%e0%b9%84%e0%b8%82%e0%b8%8a%e0%b9%88%e0%b8%ad%e0%b8%87%e0%b9%82%e0%b8%ab%e0%b8%a7%e0%b9%88-zero-day-%e0%b8%97%e0%b8%b5%e0%b9%88%e0%b8%aa%e0%b8%b3%e0%b8%84%e0%b8%b1/