Середа, 6 Грудня, 2023

Chrome, Skype, драйвери Nvidia та інші додатки потребують оновлення: Google каже хакери вже експлатують діру

Існує новий експлойт нульового дня для деяких найпопулярніших у світі програм – від Chrome і Firefox до Skype, VLC та драйверів Nvidia. За даними Google, зловмисники його вже активно використовують.

Google документує цю помилку як серйозну проблему безпеки з позначкою CVE-2023-5217. Вона дещо нагадує іншу відкриту у вересні проблему, але якщо попередня діра була пов’язана з картинками, поточна – стосується відео.

Баг стосується переповнення буфера купи в кодуванні vp8 у бібліотеці libvpx. Це означає, що в певних ситуаціях програма може записати в буфер пам’яті більше даних, ніж це призначено. Це може призвести до перезапису інших даних, створюючи непередбачені проблеми безпеки.

Mozilla вже підтвердила, що Firefox вразливий до тієї ж проблеми, і що формат відео VP8 WebM використовується в такій кількості програмного забезпечення по всьому світу, що це може перетворитися на справжню проблему.

Адже цей формат відео використовується як бізнес-інструментами, такими як Skype, до споживацьких програм, таких як VLC, і програм, пов’язаних із апаратним забезпеченням від AMD, Nvidia та Logitech.

Погана новина полягає в тому, що ця вразливість уже використовується, хоча Google не вказує конкретно, де і як. Але закрити цю діру досить просто і Chrome (версія 117) та Firefox (118) вже зробили це.

Ще одна хороша новина полягає в тому, що конкретна вразливість існує лише тоді, коли мультимедійні дані кодуються, а не декодуються. Тому програми, які лише відтворюють відео можуть залишитися у безпеці навіть попри те, що вона використовує бібліотеку libvpx.

НАПИСАТИ ВІДПОВІДЬ

Коментуйте, будь-ласка!
Будь ласка введіть ваше ім'я

Євген
Євген
Євген пише для TechToday з 2012 року. Інженер за освітою. Захоплюється реставрацією старих автомобілів.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися