Існує новий експлойт нульового дня для деяких найпопулярніших у світі програм – від Chrome і Firefox до Skype, VLC та драйверів Nvidia. За даними Google, зловмисники його вже активно використовують.
Google документує цю помилку як серйозну проблему безпеки з позначкою CVE-2023-5217. Вона дещо нагадує іншу відкриту у вересні проблему, але якщо попередня діра була пов’язана з картинками, поточна – стосується відео.
Баг стосується переповнення буфера купи в кодуванні vp8 у бібліотеці libvpx. Це означає, що в певних ситуаціях програма може записати в буфер пам’яті більше даних, ніж це призначено. Це може призвести до перезапису інших даних, створюючи непередбачені проблеми безпеки.
Mozilla вже підтвердила, що Firefox вразливий до тієї ж проблеми, і що формат відео VP8 WebM використовується в такій кількості програмного забезпечення по всьому світу, що це може перетворитися на справжню проблему.
Адже цей формат відео використовується як бізнес-інструментами, такими як Skype, до споживацьких програм, таких як VLC, і програм, пов’язаних із апаратним забезпеченням від AMD, Nvidia та Logitech.
Погана новина полягає в тому, що ця вразливість уже використовується, хоча Google не вказує конкретно, де і як. Але закрити цю діру досить просто і Chrome (версія 117) та Firefox (118) вже зробили це.
Ще одна хороша новина полягає в тому, що конкретна вразливість існує лише тоді, коли мультимедійні дані кодуються, а не декодуються. Тому програми, які лише відтворюють відео можуть залишитися у безпеці навіть попри те, що вона використовує бібліотеку libvpx.