内存安全周报第154期 | Mozilla修补火狐,雷鸟应对零日漏洞攻击
安芯网盾内存安全周报专栏,希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题,防止外部入侵等威胁、有效的对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。
一、Mozilla修补火狐,雷鸟应对零日漏洞攻击(9.12)
Mozilla发布紧急安全更新,修复一个严重的零日漏洞,该漏洞对火狐网络浏览器和雷鸟电子邮箱客户端造成影响。
详细情况
该安全漏洞追踪为CVE-2023-4863,由WebP代码库(libwebp)中的堆缓冲区溢出引起,影响范围从崩溃到任意代码执行。“打开恶意WebP图像可能导致内容处理过程中的堆缓冲区溢出。”Mozilla在周二发布的一份公告中表示:“我们意识到这个问题正在其他产品中被利用。”Mozilla在Firefox 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1和Thunderbird 115.2.2中修复被利用的零日漏洞。
尽管攻击中利用WebP漏洞的具体细节仍然没有披露,但这个严重漏洞在现实场景中正在被滥用。正如Mozilla在安全建议中透露的,CVE-2023-4863零日漏洞还会影响其他使用有漏洞的WebP代码库版本软件。谷歌Chrome网络浏览器就是其一,谷歌警告称:“意识到存在CVE-2023-4863零日漏洞”,并针对该漏洞打补丁。Chrome安全更新将通过稳定、扩展的渠道向用户推出,预计在未来几天或几周内覆盖整个用户群。
研究人员识别、披露零日漏洞的历史,这些漏洞经常被政府附属黑客领导的针对性间谍活动所利用。苹果公司修补两个被标记为在户外被利用的零日漏洞,该漏洞是名为BLASTPASS的漏洞链的一部分,漏洞旨在将NSO集团的飞马雇佣军间谍软件部署到完全打过补丁的iPhone上。如今,BLASTPASS补丁移植到老款iPhone,包括iPhone 6s、iPhone 7和第一代iPhone SE。
参考链接
二、曼彻斯特警方数据在勒索软件攻击中暴露(9.14)
英国大曼彻斯特警察局(GMP)表示,部分员工的个人信息受到针对第三方供应商的勒索软件攻击影响。
详细情况
受影响的组织在声明中没有命名,是GMP和其他组织在英国的服务供应商。GMP不相信黑客系统中的数据包含属于警察局员工的财务信息。助理警察局长科林·麦克法兰:“我们意识到勒索软件攻击影响了包括GMP在内多个英国组织的第三方供应商,该供应商持有GMP的雇员信息。在现阶段,我们认为这些数据不包括财务信息。”然而,麦克法兰没有提供其他类型信息可能被泄露的细节。
麦克法兰说:“我们理解我们的员工多么担忧这件事,所以,在我们努力了解本次攻击对GMP的影响时,我们已经联系信息专员办公室,并尽我们所能确保员工随时了解情况,让他们的问题得到回答,并让他们感到得到支持。”他还强调,警察部门把勒索软件攻击和由此导致的数据泄露作为国家一级刑事调查的一部分,且作为最优先考虑的问题。
一个月前,北爱尔兰警察局(PSNI)宣布另一起第三方入侵事件,事件泄露一万名警察的个人身份信息(PII)、军衔和位置。部分被盗数据被发布到网上,暴露卧底警察的身份,危及工作人员的健康和安全。8月下旬,伦敦警察厅(Met)发布一份类似的声明,称黑客入侵其供应商之一的IT系统,导致47,000名警察和工作人员的姓名、军衔、照片、审查级别和工资号码被曝光。
直到2023年9月初,《太阳报》指出受此事件影响的第三方,称其是总部位于斯托克波特的ID卡和门禁卡制造商“Digital ID”。该公司后来通过一份媒体声明证实,它受到IT安全事件的影响,但尚未分享进一步细节。虽然没有得到证实,但GMP漏洞很有可能与Digital ID事件有关。鉴于该公司广泛的业务范围,其他英国警察部门可能很快就会宣布类似的数据泄露事件。
参考链接
