Mozilla发布安全更新以修复零日漏洞

关键要点

Mozilla发布了针对Firefox浏览器和Thunderbird邮箱客户端的安全更新，以修复一个关键的零日漏洞。该漏洞是一个堆缓冲区溢出，可能被远程攻击者利用。该漏洞在Chrome浏览器中也已被修复，各大浏览器面临相同的安全挑战。

Mozilla在周二呼吁安全专业人士使用其发布的安全更新，以修复在Firefox网络浏览器和Thunderbird邮箱客户端中发现的一个关键的零日漏洞。该零日漏洞标识为 CVE20234863，被报告为WebP中的堆缓冲区溢出，允许远程攻击者通过精心制作的HTML页面执行越界内存写入。

尽管尚未分配CVSS评分， 但 NIST 已将这一缺陷评估为关键。在其 2023年9月12日的公告 中，Mozilla表示已知该零日漏洞在其他产品中被攻击。这些产品包括 谷歌的Chrome浏览器，该漏洞的修复于本周一实施。

Mozilla感谢苹果安全工程和架构部门以及多伦多大学Munk学院的公民实验室将这一零日漏洞引起了他们的注意。

天行加速器付费版

被修复的产品包括以下版本：Firefox 11701、Firefox ESR 11521、Firefox ESR 102151、Thunderbird 102151和Thunderbird 11522。

Menlo Security的联合创始人兼首席产品官Poornima DeBolle表示，管理浏览器漏洞已成为安全团队的一场“打地鼠”游戏。DeBolle指出，当前这一漏洞正在影响所有主要浏览器：Chrome、Edge、Firefox和Safari。

“浏览器在各个组织中广泛分布和使用，这使得其修复面临挑战，” DeBolle表示。“开源软件包中的单一漏洞让每个人都处于危险之中。攻击者深知这一点，并找到更多创新方式利用这一薄弱环节。作为一个行业，我们需要更多讨论如何保护浏览器的新架构，以及如何提高网络的网络弹性。”

浏览器如Firefox和Chrome是几乎所有基于云的服务共同依赖的核心应用程序，因此它们是高优先级的攻击目标，Keeper Security的安全与架构副总裁Patrick Tiquet表示。Tiquet指出，浏览器的妥协可能会被利用来危及通过该浏览器访问的任何基于云的服务。

“确保网页浏览器得到了修补是用户或客户组织的责任，” Tiquet表示。“如果不维护和修补，浏览器可能成为任何基于云服务安全性的薄弱环节。在这种情况下，客户端网页浏览器特别值得引起云服务的关注，因为它们在很大程度上不受云服务提供者的安全控制。”

产品名称版本Firefox11701 11521 102151Thunderbird102151 11522

总之，随着零日漏洞的发现，安全专业人士必须保持警惕并定期更新浏览器和其他关键软件，以抵御可能的网络攻击和安全威胁。