Alert GCSA-23117 - Vulnerabilita' critica CVE-2023-4863 - Aggiornamenti per Mozilla, Google Chrome e Microsoft Edge

 




















******************************************************************

Alert ID: GCSA-23117
Data: 15 Settembre 2023
Titolo: Vulnerabilita' critica CVE-2023-4863 - Aggiornamenti per Mozilla, Google Chrome e Microsoft Edge

******************************************************************

:: Descrizione del problema

E' in corso uno sfruttamento massiccio della vulnerabilita' CVE-2023-4863

La vulnerabilita' riguarda le librerie di gestione immagini WebP (libwebp)
e impattano sui piu' comuni browser e client di posta.
Il problema e' dovuto ad un buffer overflow nel parsing di immagini WebP,
che possono permettere ad un attaccante di ottenere esecuzione da remoto
di codice arbitrario, inducendo la vittima a visitare siti con immagini WebP
appositamente contraffatte.

Maggiori informazioni sono disponibili alla sezione "Riferimenti".


:: Software interessato

versioni precedenti alle seguenti:

Firefox 117.0.1
Firefox ESR 102.15.1
Firefox ESR 115.2.1
Thunderbird 102.15..
Thunderbird 115.2.2
Chrome 116.0.5845.187 per Linux e Mac
Chrome 116.0.5845.187/.188 per Windows
Microsoft Edge 116.0.1938.81


::Impatto

Remote Code Execution


:: Soluzioni

* Aggiornare Firefox alla versione piu' recente:

Firefox 117
Firefox ESR 102.15
Firefox ESR 115.2

https://support.mozilla.org/en-US/kb/update-firefox-latest-release
https://www.mozilla.org/it/firefox/new/
https://www.mozilla.org/en-US/firefox/organizations/
https://www.mozilla.org/en-US/firefox/all/#product-desktop-release

* Aggiornare Google Chrome alla versione piu' recente
Chrome 116.0.5845.187 per Linue a Mac
Chrome per Windows

L'aggiornamento sara' automatico per tutte le installazioni
in cui non sia stata disattivata l'opzione "aggiornamento
automatico".

Gli utenti desktop possono verificare l'avvenuto aggiornamento
scegliendo dal menu (icona 3 punti verticali) la voce
Guida -> Informazioni su Google Chrome.

Per l'installazione manuale scaricare il software dal sito
ufficiale:

http://www.google.com/chrome/?hl=it

* Aggiornare Microsoft Edge alla versione piu' recente:
Microsoft Edge 116.0.1938.81

L'aggiornamento avviene in modo automatico.
E' possibile verificare la versione attualmente in uso
scegliendo dal menu "Impostazioni e altro"
(icona 3 punti verticali in alto a dx) la voce
Guida e feedback -> Informazioni su Microsoft Edge


:: Riferimenti

Mozilla Foundation Security Advisory
https://www.mozilla.org/en-US/security/advisories/
https://www.mozilla.org/en-US/security/advisories/mfsa2023-40/

Google Chrome Releases
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html

Microsoft Edge
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-4863

Debian
https://www.debian.org/security/2023/dsa-5496
https://www.debian.org/security/2023/dsa-5497

Fedora
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/OZDGWWMJREPAGKWCJKSCM4WYLANSKIFX/

Bleeping Computer
https://www.bleepingcomputer.com/news/google/google-fixes-another-chrome-zero-day-bug-exploited-in-attacks/
https://www.bleepingcomputer.com/news/security/mozilla-patches-firefox-thunderbird-against-zero-day-exploited-in-attacks/

Mitre CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-4863



GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert




-----BEGIN PGP SIGNATURE-----

iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZQQkoQAKCRDBnEyTZRJg
Qh0pAJ0ZjVF1H4klno56mNgnFQCoOoPYMgCfZX8RrPYVxw1z4Tyr9vFkahvWbvA=
=L+Hy
-----END PGP SIGNATURE-----