Библиотека кодирования видео делает Chrome, Firefox и другие уязвимыми для атак нулевого дня

Библиотека кодирования видео делает Chrome, Firefox и другие уязвимыми для атак нулевого дня

30 сентября 2023 г.
Google и Mozilla исправили уязвимость нулевого дня, которая возникает в библиотеке libvpx.

Google и Mozilla исправили эксплойт нулевого дня в Chrome и Firefox соответственно. Эксплойт нулевого дня использовался коммерческим поставщиком шпионского ПО. Эксплойт нулевого дня может привести к переполнению буфера кучи, через которое злоумышленники смогут внедрить вредоносный код. Это может затронуть любое программное обеспечение, использующее кодировку VP8 в libvpx или основанное на Chromium (включая Microsoft Edge), а не только Chrome или Firefox.

Если вы используете Chrome, обновите версию до 117.0.5938.132, когда она станет доступной; Google Chrome заявляет, что всем пользователям может потребоваться несколько дней/недель, чтобы увидеть обновление. В Firefox эксплойт исправлен в Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus для Android 118.1 и Firefox для Android 118.1.

Перейти к:

    Эта уязвимость нулевого дня берет свое начало в библиотеке libvpx. Что могут сделать ИТ-команды для обеспечения безопасности устройств сотрудников?

Эта уязвимость нулевого дня берет свое начало в библиотеке libvpx.

Эксплойт нулевого дня технически представляет собой переполнение буфера кучи в кодировке VP8 в libvpx — библиотеке видеокода, разработанной Google и Alliance for Open Media. Он широко используется для кодирования или декодирования видео в форматах кодирования видео VP8 и VP9.

«Специальная обработка медиапотока VP8, контролируемого злоумышленником, может привести к переполнению буфера кучи в процессе обработки контента», — написала команда Firefox в своих рекомендациях по безопасности.

Отсюда уязвимость «позволяла удаленному злоумышленнику потенциально использовать повреждение кучи через созданную HTML-страницу», — говорится на официальном сайте Common Vulnerabilities and Exposures.

СМОТРИТЕ: Злоумышленники создали поддельный сайт менеджера паролей Bitwarden для доставки вредоносного ПО, нацеленного на Windows (TechRepublic)

Эксплойт отслеживается Google как CVE-2023-5217. Клеман Лесинь, исследователь безопасности из группы анализа угроз Google, обнаружил уязвимость 25 сентября, что привело к выпуску исправления 27 сентября.

«Коммерческий поставщик средств наблюдения» активно использовал этот эксплойт, отметила на X исследователь Мэдди Стоун из группы анализа угроз Google.

На данный момент имеется не так уж много информации об эксплойте нулевого дня. «Google знает, что эксплойт для CVE-2023-5217 существует», — написала компания в обновлении выпуска Chrome.

Обновление Chrome, включая исправление, устраняет девять других уязвимостей.

«В этом случае браузерный эксплойт, связанный с libpvx, вызовет удивление, поскольку он может привести к сбою браузера и выполнению вредоносного кода — на том уровне разрешений, на котором работал браузер», — сказал Роб Т. Ли, главный директор учебной программы и глава факультета Института SANS и бывший технический советник Министерства юстиции США, в электронном письме TechRepublic. «Это дает некоторое утешение, но многие эксплойты могут сделать гораздо больше, включая имплантаты для обеспечения удаленного доступа».

Что могут сделать ИТ-команды для обеспечения безопасности устройств сотрудников?

ИТ-руководители должны сообщить сотрудникам, что им следует регулярно обновлять свои браузеры и быть в курсе возможных уязвимостей. Еще одна атака на переполнение буфера кучи на прошлой неделе затронула различные программы, использующие кодек WebP, поэтому сейчас самое время подчеркнуть важность обновлений. Информация о том, может ли libvpx быть исправлена, пока недоступна, сообщила Ars Technica 28 сентября.

«Внедрение стратегий многоуровневой безопасности и глубокой защиты обеспечивает оптимальное смягчение угроз нулевого дня», — сказал временный глава службы безопасности Mozilla Джон Боттомс в электронном письме TechRepublic.

«Трудно подготовиться к тому, чтобы организации предотвратили [эксплойты нулевого дня], подобно приличной попытке социальной инженерии. Лучшее, что вы можете сделать, — это укрепить свои файлы журналов и обеспечить наличие криминалистических доказательств, которые можно отследить в течение нескольких месяцев (если а не годы работы с критически важными системами)», — сказал Ли. «Некоторые инструменты могут обнаруживать нулевые дни на лету, в том числе встроенные в операционную систему, но многие из них иногда снижают производительность системы».

TechRepublic также обратилась к Google за комментариями. На момент публикации ответа мы не получили.


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE