Новый нулевой день Chrome отправляет Интернет в новую главу Дня сурка

В среду компания Google сообщила, что критическая уязвимость нулевого дня в ее браузере Chrome открывает Интернет для новой главы «Дня сурка».

Как критический Google нулевого дня раскрыто 11 сентября, новая использованная уязвимость затрагивает не только Chrome. Уже, Мозилла сказал что ее браузер Firefox уязвим к той же ошибке, которая отслеживается как CVE-2023-5217. И так же, как CVE-2023-4863, полученный 17 дней назад, новый находится в широко используемой библиотеке кода для обработки медиафайлов, особенно в формате VP8.

Страницы здесь и здесь перечислить сотни пакетов только для Ubuntu и Debian, которые полагаются на библиотеку, известную как libvpx. Большинство браузеров используют его, и список о программном обеспечении или поставщиках, поддерживающих его, можно узнать как кто есть кто в Интернете, включая Skype, Adobe, VLC и Android.

Неясно, сколько пакетов программного обеспечения, зависящих от libvpx, будут уязвимы для CVE-2023-5217. В сообщении Google говорится, что нулевой день применяется к кодированию видео. Напротив, нулевой день, использованный в libwebp, библиотеке кода, уязвимой для атак в начале этого месяца, работал для кодирования и декодирования. Другими словами, согласно формулировке раскрытия, CVE-2023-5217 требует целевого устройства для создания носителей в формате VP8. CVE-2023-4863 можно было использовать, когда на целевом устройстве просто отображалось изображение-ловушка.

«Тот факт, что пакет зависит от libvpx, НЕ обязательно означает, что он будет уязвим», — написал в онлайн-интервью Уилл Дорман, старший главный аналитик Analygence. «Уязвимость находится в кодировке VP8, поэтому, если кто-то использует libvpx только для декодирования, ему не о чем беспокоиться». Даже с учетом этого важного различия, помимо Chrome и Firefox, вероятно, будет гораздо больше пакетов, которые потребуют исправлений. «Браузеры Firefox, Chrome (и на основе Chromium), а также другие устройства, которые предоставляют возможности кодирования VP8 от libvpx до JavaScript (т. е. веб-браузеры), похоже, находятся под угрозой», — сказал он.

В настоящее время имеется мало подробностей о реальных атаках, в которых использовалась последняя атака нулевого дня. В сообщении Google говорилось лишь, что код, использующий эту уязвимость, «существует в природе». Социальные сети почта Мэдди Стоун, исследователь безопасности из группы анализа угроз Google, сказала, что нулевой день «использовался коммерческим поставщиком систем наблюдения». Google поблагодарил Клемента Лесиня из TAG Google за обнаружение уязвимости в понедельник, всего за два дня до выпуска патча, выпущенного в среду.

Нулевой день исправлен в Chrome 117.0.5938.132, Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus для Android 118.1 и Firefox для Android 118.1.

Есть и другие сходства между двумя нулевыми днями. Оба они возникают из-за переполнения буфера, которое позволяет удаленно выполнять код практически без взаимодействия со стороны конечного пользователя, кроме посещения вредоносной веб-страницы. Оба они затрагивают медиатеки, опубликованные Google более десяти лет назад. Обе библиотеки написаны на C, языке программирования, которому уже 50 лет, и который широко считается небезопасным, поскольку он подвержен уязвимостям, вызывающим повреждение памяти.

На этот раз ситуация изменилась: формулировка в CVE, назначенном Google в среду, ясно говорит о том, что уязвимость затрагивает не только Chrome, но и libvpx. Когда Google присвоил CVE-2023-4863, он упомянул только, что уязвимость затронула Chrome, что привело к путанице. критики сказали замедление установки исправлений другими затронутыми пакетами программного обеспечения.

Вероятно, потребуется еще несколько дней, чтобы стала ясна вся суть CVE-2023-5217. Разработчики проекта libvpx не сразу ответили на электронное письмо с вопросом, доступна ли исправленная версия библиотеки или что конкретно требуется для использования программного обеспечения, использующего библиотеку. На данный момент людям, использующим приложения, программные платформы или веб-сайты, использующие VP8, особенно для кодирования видео, следует проявлять осторожность.