Уязвимость нулевого дня обнаружена в Chrome, Firefox и других браузерах
techrepublic

Уязвимость нулевого дня обнаружена в Chrome, Firefox и других браузерах

15 сентября 2023 г.
Теперь доступны обновления для исправления уязвимости Chrome, которая позволяет злоумышленникам запускать вредоносный код.

Пришло время обновить Google Chrome, Firefox или Thunderbird от Mozilla, Microsoft Edge, браузер Brave или браузер Tor; Новостной сайт веб-разработки StackDiary сообщил об уязвимости нулевого дня во всех шести браузерах, которая может позволить злоумышленникам выполнить вредоносный код.

Перейти к:

    Уязвимость возникает в программе чтения WebP Какие действия следует предпринять пользователям?

Уязвимость возникает в программе чтения WebP

Пользователям затронутых браузеров следует обновиться до самой последней версии, чтобы гарантировать исправление уязвимости нулевого дня на своих компьютерах. Проблема не в браузерах — уязвимость возникает в кодеке WebP, как обнаружил StackDiary.

Другие затронутые приложения включают в себя:

    Близость. Гимп. Инкскейп. ЛибреОфис. Телеграмма. Множество приложений для Android. Кроссплатформенные приложения, созданные с помощью Flutter.

Приложения, созданные на Electron, также могут быть затронуты; Электрон выпустил патч.

Многие приложения используют кодек WebP и библиотеку libwebp для рендеринга изображений WebP, отмечает StackDiary.

СМОТРИТЕ: Check Point Software обнаружила, что атаки на кибербезопасность исходят как из новой школы (ИИ), так и из старой школы (загадочно упавшие USB-накопители). (Техреспублик)

Более подробно, по данным NIST, переполнение буфера кучи в WebP позволило злоумышленникам выполнить запись в память за пределами границ памяти. Переполнение буфера кучи позволяет злоумышленникам вставлять вредоносный код, «переполняя» объем данных в программе, пояснил StackDiary. Поскольку это конкретное переполнение буфера кучи нацелено на кодек (по сути, переводчик, который позволяет компьютеру отображать изображения WebP), злоумышленник может создать изображение, в которое встроен вредоносный код. Оттуда они могли украсть данные или заразить компьютер вредоносным ПО.

По данным StackDiary, уязвимость была впервые обнаружена командой Apple по разработке и архитектуре безопасности и лабораторией Citizen Lab в Университете Торонто 6 сентября.

Какие действия следует предпринять пользователям?

Google, Mozilla, Brave, Microsoft и Tor выпустили исправления безопасности для этой уязвимости. Лицам, использующим эти приложения, следует обновить их до последней версии. В случае других приложений это постоянная уязвимость, для которой могут не существовать исправления; В NIST отметили, что уязвимость еще не прошла полный анализ.

NIST классифицировал уязвимость как серьезную и рекомендует пользователям прекратить использование приложений, для которых еще не выпущено исправление. При необходимости проверьте свое приложение индивидуально.

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE