Mozilla 释出紧急更新修复了一个正被利用的 0day 漏洞，该漏洞影响 Firefox 和 Thunderbird。漏洞编号为 CVE-2023-4863，由 WebP 库(libwebp)中的堆缓冲区溢出引起，会导致崩溃到任意代码执行，攻击者能通过恶意 WebP 图像利用该漏洞。Mozilla 释出了 Firefox 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1 和 Thunderbird 115.2.2 修复漏洞。漏洞利用的细节尚未披露。

卡巴斯基研究人员披露了一个秘密植入后门三年之久的 Linux 应用 Free Download Manager。网站 freedownloadmanager[.]org 向 Linux 用户提供应用 Free Download Manager，但从 2020 年开始，该域名会不定时的将用户重定向到另一个域名 deb.fdmpkg[.]org 下载恶意版本。恶意版本包含了脚本会下载两个可执行文件到 /var/tmp/crond 和 /var/tmp/bs 中，脚本然后使用 cron 定时任务调度器每 10 分钟执行一次 /var/tmp/crond 中的文件，这意味着设备被永久植入了后门。安全研究人员发现，攻击者会收集系统信息、浏览历史、保存的密码、加密钱包文件以及云服务（AWS、Google Cloud、Oracle Cloud Infrastructure 和 Azure）凭证等数据，将窃取的数据上传到其控制的服务器。恶意域名的重定向在 2022 年结束，该行动目前处于不活跃状态。