Библиотека кодирования видео делает Chrome, Firefox и другие уязвимыми для атак нулевого дня

Google и Mozilla исправили уязвимость нулевого дня, которая возникает в библиотеке libvpx.

Google и Mozilla исправили эксплойт нулевого дня в Хром и Fire Fox, соответственно. Эксплойт нулевого дня использовался коммерческим поставщиком шпионского ПО. Эксплойт нулевого дня может привести к переполнению буфера кучи, через которое злоумышленники смогут внедрить вредоносный код. Это может затронуть любое программное обеспечение, использующее кодировку VP8 в libvpx или основанное на Chromium (включая Microsoft Edge), а не только Chrome или Firefox.

Если вы используете Chrome, обновите версию до 117.0.5938.132, когда она станет доступной; Google Chrome заявляет, что всем пользователям может потребоваться несколько дней/недель, чтобы увидеть обновление. В Firefox эксплойт исправлен в Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus для Android 118.1 и Firefox для Android 118.1.

Перейти к:

Эта уязвимость нулевого дня берет свое начало в библиотеке libvpx.

Эксплойт нулевого дня технически представляет собой переполнение буфера кучи в кодировке VP8 в libvpx — библиотеке видеокода, разработанной Google и Alliance for Open Media. Он широко используется для кодирования или декодирования видео в форматах кодирования видео VP8 и VP9.

«Специальная обработка медиапотока VP8, контролируемого злоумышленником, может привести к переполнению буфера кучи в процессе обработки контента», — написала команда Firefox в своих рекомендациях по безопасности.

Отсюда уязвимость «позволяла удаленному злоумышленнику потенциально использовать повреждение кучи с помощью созданной HTML-страницы», — сообщил чиновник. Сайт распространенных уязвимостей и уязвимостей.

ВИДЕТЬ: Злоумышленники построили поддельный сайт менеджера паролей Bitwarden для доставки вредоносного ПО, нацеленного на Windows (TechRepublic)

Эксплойт отслеживается Google как CVE-2023-5217. Клеман Лесинь, исследователь безопасности из группы анализа угроз Google, обнаружил уязвимость 25 сентября, что привело к выпуску исправления 27 сентября.

«Коммерческий поставщик средств наблюдения» активно использовал эксплойт, говорит исследователь Мэдди Стоун из группы анализа угроз Google. отмечено на X.

На данный момент имеется не так уж много информации об эксплойте нулевого дня. «Google знает, что эксплойт для CVE-2023-5217 существует», — написала компания в обновлении выпуска Chrome.

Обновление Chrome, включая исправление, исправляет ситуацию. девять других уязвимостей.

«В этом случае браузерный эксплойт, связанный с libpvx, вызовет удивление, поскольку он может привести к сбою браузера и выполнению вредоносного кода — на том уровне разрешений, на котором работал браузер», — сказал Роб Т. Ли, главный директор учебной программы и глава факультета Института SANS и бывший технический советник Министерства юстиции США, в электронном письме TechRepublic. «Это дает некоторое утешение, но многие эксплойты могут сделать гораздо больше, включая имплантаты для обеспечения удаленного доступа».

TechRepublic обратилась к Google и Mozilla за комментариями.

Что могут сделать ИТ-команды для обеспечения безопасности устройств сотрудников?

ИТ-руководители должны сообщить сотрудникам, что им следует регулярно обновлять свои браузеры и быть в курсе возможных уязвимостей. Другой атака на переполнение буфера кучи на прошлой неделе затронуло различное программное обеспечение, использующее кодек WebP, поэтому сейчас самое время подчеркнуть важность обновлений. Информация о том, может ли libvpx быть исправлена, пока недоступна. Арс Техника Об этом сообщили 28 сентября.

«Внедрение стратегий многоуровневой безопасности и глубокой защиты обеспечивает оптимальное смягчение угроз нулевого дня», — сказал временный глава службы безопасности Mozilla Джон Боттомс в электронном письме TechRepublic.

«Организациям трудно подготовиться к предотвращению [zero-day exploits]Это похоже на приличную попытку социальной инженерии: лучшее, что вы можете сделать, — это укрепить свои файлы журналов и гарантировать наличие криминалистических доказательств, которые можно отследить в течение месяцев (если не лет в критических системах)», — сказал Ли. «Некоторые инструменты могут обнаруживать нулевые дни на лету, в том числе встроенные в операционную систему, но многие из них иногда снижают производительность системы».