周三,谷歌报告称,其Chrome浏览器中的一个关键零日漏洞正在为互联网打开土拨鼠日的新篇章。
就像谷歌在11月2023日披露的关键零日漏洞一样,新的被利用漏洞不仅仅影响Chrome。Mozilla已经表示,其Firefox浏览器容易受到同一错误的影响,该错误被跟踪为CVE-5217-2023。就像 4863 天前的 CVE-17-8 一样,新的代码驻留在广泛使用的代码库中,用于处理媒体文件,特别是 VP<> 格式的文件。
这里和这里的页面列出了数百个 Ubuntu 和 Debian 软件包,这些软件包依赖于称为 libvpx 的库。大多数浏览器都使用它,支持它的软件或供应商列表读起来就像互联网的名人录,包括Skype,Adobe,VLC和Android。
目前尚不清楚有多少依赖于libvpx的软件包容易受到CVE-2023-5217的攻击。谷歌的披露称,零日漏洞适用于视频编码。相比之下,本月早些时候易受攻击的代码库libwebp中被利用的零日漏洞用于编码和解码。换句话说,根据披露中的措辞,CVE-2023-5217 需要目标设备创建 VP8 格式的媒体。当目标设备仅显示诱杀图像时,可能会利用 CVE-2023-4863。
“一个软件包依赖于libvpx的事实并不一定意味着它会很脆弱,”Analygence的高级首席分析师Will Dorman在一次在线采访中写道。“漏洞采用VP8编码,所以如果某些东西只使用libvpx进行解码,他们就没有什么可担心的。即使有这个重要的区别,除了Chrome和Firefox之外,可能还有更多的软件包需要修补。“Firefox,Chrome(和基于Chromium的)浏览器,以及其他将VP8编码功能从libvpx暴露到JavaScript(即Web浏览器)的东西似乎处于危险之中,”他说。
目前很少有关于利用最新零日漏洞的野外攻击的细节。谷歌的帖子只说利用这个漏洞的代码“存在于野外”。谷歌威胁分析小组安全研究员麦迪·斯通(Maddie Stone)在社交媒体上发帖称,零日漏洞“正在被商业监控供应商使用”。谷歌称赞谷歌TAG的克莱门特·莱西涅(Clement Lecigne)在周一发现了该漏洞,就在周三发布的补丁前两天。
零日漏洞在Chrome 117.0.5938.132,Firefox 118.0.1,Firefox ESR 115.3.1,Firefox Focus for Android 118.1和Firefox for Android 118.1中进行了修补。
这两个零日漏洞之间还有其他相似之处。它们都源于缓冲区溢出,允许远程执行代码,除了访问恶意网页之外,最终用户很少或没有交互。它们都会影响谷歌十多年前发布的媒体库。这两个库都是用C编写的,C是一种有50年历史的编程语言,被广泛认为是不安全的,因为它容易出现内存损坏漏洞。
这次有一件事有所不同:谷歌周三分配的CVE中的措辞很明显,该漏洞不仅影响Chrome,还影响libvpx。当谷歌分配CVE-2023-4863时,它只提到该漏洞影响了Chrome,导致批评者说其他受影响的软件包的修补速度减慢了混乱。
CVE-2023-5217 的完整范围可能需要几天时间才能变得清晰。libvpx的项目开发人员没有立即回复一封电子邮件,询问是否有该库的修补版本,或者利用使用该库的软件具体需要什么。目前,使用涉及VP8的应用程序,软件框架或网站的人,特别是视频编码,应谨慎行事。
本文暂时没有评论,来添加一个吧(●'◡'●)