W ostatnich dniach pojawiły się doniesienia o krytycznej luce typu zero-day, która dotknęła nie tylko przeglądarkę Google Chrome, ale również i konkurencję. Luka oznaczona jako CVE-2023-5217 dotyczy biblioteki libvpx, wykorzystywanej szeroko w przetwarzaniu plików multimedialnych, zwłaszcza tych w formacie VP8.
Fakt, iż błąd dotyczy biblioteki wykorzystywanej do przetwarzania plików multimedialnych wzbudziło obawy w praktycznie całym świecie nowych technologii ponieważ wiele znanych aplikacji i platform, w tym Skype, Adobe, VLC i Android, polega na tej bibliotece do obsługi multimediów. Nie jest jeszcze jasne, jak wiele programów używających libvpx jest podatnych na CVE-2023-5217. Atak wykorzystujący lukę koncentruje się na kodowaniu wideo w formacie VP8, co oznacza, że dziura może dotyczyć nie tylko przeglądarek, ale także na aplikacje lub serwisy internetowe, które korzystają z tej technologii.
Warto jednak zaznaczyć, że fakt używania biblioteki libvpx niekoniecznie oznacza, że aplikacja jest automatycznie podatna na ataki. Jeśli dana aplikacja używa libvpx tylko do dekodowania multimediów, to owe ryzyko jest mniejsze. Niemniej jednak, wiele przeglądarek, w tym Firefox, Chrome i przeglądarki oparte na Chromium (Edge także), wykorzystuje libvpx do różnych celów, co wywołało spory popłoch wśród producentów przeglądarek - i nie tylko.
Aktualnie brakuje szczegółów na temat jakichkolwiek ataków z użyciem CVE-2023-5217. Ale może się okazać, że takowe jednak udało się cyberprzestępcom wykonać. Na razie trudno jest dywagować na temat tego typu ataków, ale reagować trzeba. Dlatego właśnie, praktycznie wszyscy więksi dostawcy oprogramowania postanowili ogarnąć to zamieszanie. Co oczywiste, Google już zareagowało na tę sytuację (skoro zaktualizowało swoją przeglądarkę, nie ma nic złego w poinformowaniu o 0-dayu) i wydało aktualizacje dla przeglądarki Chrome oraz innych produktów. Podobnie zrobiła z produktami Firefox, w tym Firefox ESR i Firefox Focus dla Androida. Warto więc sprawdzić aktualizacje dla swoich przeglądarek i... zwyczajnie je zastosować.
To nie pierwszy przypadek luki typu zero-day w bibliotece multimedialnej od Google. CVE-2023-5217 jest bardzo podobna do CVE-2023-4863, która została wykryta wcześniej w 2023 roku. Oba przypadki wykorzystują przepełnienie bufora, umożliwiając zdalne wykonanie kodu przy minimalnej interakcji użytkownika. Obie luki związane są z bibliotekami multimedialnymi, które Google opublikowało wiele lat temu. Widać więc, że biblioteki od Google są nieco "feralne" i ta koincydencja może skłonić cyberprzestępców do zainteresowania się innymi, które zostały wydane przez Google. Być może tam też czają się jakieś dziury, które można wykorzystać?
Nie wiadomo na ten moment, jak wiele programów jest podatnych na lukę CVE-2023-5217 i czy w ogóle ktokolwiek jej użył w swoim ataku. Ludzie związani z projektem libvpx nie udzielili jeszcze informacji na temat poprawionej wersji biblioteki.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
