A Mozilla lançou na última terça-feira atualizações de segurança para resolver uma vulnerabilidade crítica de dia zero no Firefox e Thunderbird que estava sendo ativamente explorada, um dia após o Google lançar uma correção para o problema em seu navegador Chrome.

A vulnerabilidade, identificada como CVE-2023-4863, é uma falha de estouro de buffer no formato de imagem WebP que pode resultar na execução arbitrária de código ao processar uma imagem especialmente criada.

“Abrir uma imagem WebP maliciosa pode levar a um estouro de buffer no processo de conteúdo”, disse a Mozilla em um comunicado. “Estamos cientes de que este problema está sendo explorado em outros produtos.”

De acordo com a descrição no Banco de Dados Nacional de Vulnerabilidades (NVD), a falha poderia permitir que um invasor remoto realizasse uma gravação de memória fora dos limites por meio de uma página HTML criada de forma maliciosa.

Embora detalhes específicos sobre a exploração das falhas permaneçam desconhecidos, suspeita-se que todas estejam sendo usadas para atingir indivíduos com risco elevado, como ativistas, dissidentes e jornalistas.