У Chrome та Firefox знайшли небезпечну вразливість нульового дня

Google випустила екстренне оновлення для браузера Google Chrome за номером 117.0.5938.132 для операційних Windows, macOS і Linux, покликане усунути критичну вразливість нульового дня з ідентифікатором CVE-2023-5217, яка може призвести до переповнення буверу в бібліотеці VP8. Хакери вже експлуатують цю вразливість.

Згідно з дослідженням безпеки Google, уразливість пов'язана з поширеною системою кодування мультимедіа для формату файлів WebM відкритого типу, у розробці якого брала участь Google. Це може зробити вразливими для атак безліч програм, від Chrome та Firefox до Skype та VLC, практично у всіх основних операційних системах, а також програм, пов'язаних з апаратним забезпеченням від AMD, NVIDIA та Logitech.

Ресурс Ars Technica повідомив про те, що Mozilla вже підтвердила, що браузер Firefox має таку ж уразливість, зазначивши, що формат VP8 WebM використовується в такій великій кількості програмного забезпечення по всьому світу, що це може перетворитися на серйозну проблему. Слід зазначити, що вже вийшло оновлення Firefox 118.0.1, яким було усунуто вразливість CVE-2023-5217.

Як зазначив ресурс PCWorld, конкретна вразливість, мабуть, існує тільки тоді, коли медіа-файли кодуються, а не декодуються, тому в списку порушених програм не обов'язково мають бути всі програми з тих, що використовують бібліотеку libvpx.