Пятница, 22 ноября, 2024

Chrome, Skype, драйверы Nvidia и другие приложения требуют обновления: Google говорит хакеры уже используют дыру

Существует новый эксплойт нулевого дня для некоторых популярнейших в мире программ — от Chrome и Firefox до Skype, VLC и драйверов Nvidia. По данным Google, злоумышленники его уже активно используют.

Google документирует эту ошибку как серьезную проблему безопасности со значком CVE-2023-5217. Она несколько напоминает другую открытую в сентябре проблему, но если предыдущая дыра была связана с картинками, текущая – касается видео.

Баг касается переполнения буфера кучи в кодировке vp8 в библиотеке libvpx. Это означает, что в определенных ситуациях приложение может записать в буфер памяти больше данных, чем это предназначено. Это может привести к перезаписи других данных, создавая непредвиденные проблемы безопасности.

Mozilla уже подтвердила, что Firefox уязвим к той же проблеме, и что формат видео VP8 WebM используется в таком количестве программного обеспечения по всему миру, что это может превратиться в настоящую проблему.

Ведь этот формат видео используется как бизнес-инструментами, такими как Skype, для потребительских программ, таких как VLC, и программ, связанных с аппаратным обеспечением от AMD, Nvidia и Logitech.

Плохая новость заключается в том, что эта уязвимость уже используется, хотя Google не указывает конкретно, где и как. Но закрыть эту дыру достаточно просто, и Chrome (версия 117) и Firefox (118) уже сделали это.

Еще одна хорошая новость состоит в том, что конкретная уязвимость существует только тогда, когда мультимедийные данные кодируются, а не декодируются. Поэтому программы, воспроизводящие видео могут остаться в безопасности даже несмотря на то, что она использует библиотеку libvpx.

Євген
Євген
Евгений пишет для TechToday с 2012 года. По образованию инженер,. Увлекается реставрацией старых автомобилей.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися