Существует новый эксплойт нулевого дня для некоторых популярнейших в мире программ — от Chrome и Firefox до Skype, VLC и драйверов Nvidia. По данным Google, злоумышленники его уже активно используют.
Google документирует эту ошибку как серьезную проблему безопасности со значком CVE-2023-5217. Она несколько напоминает другую открытую в сентябре проблему, но если предыдущая дыра была связана с картинками, текущая – касается видео.
Баг касается переполнения буфера кучи в кодировке vp8 в библиотеке libvpx. Это означает, что в определенных ситуациях приложение может записать в буфер памяти больше данных, чем это предназначено. Это может привести к перезаписи других данных, создавая непредвиденные проблемы безопасности.
Mozilla уже подтвердила, что Firefox уязвим к той же проблеме, и что формат видео VP8 WebM используется в таком количестве программного обеспечения по всему миру, что это может превратиться в настоящую проблему.
Ведь этот формат видео используется как бизнес-инструментами, такими как Skype, для потребительских программ, таких как VLC, и программ, связанных с аппаратным обеспечением от AMD, Nvidia и Logitech.
Плохая новость заключается в том, что эта уязвимость уже используется, хотя Google не указывает конкретно, где и как. Но закрыть эту дыру достаточно просто, и Chrome (версия 117) и Firefox (118) уже сделали это.
Еще одна хорошая новость состоит в том, что конкретная уязвимость существует только тогда, когда мультимедийные данные кодируются, а не декодируются. Поэтому программы, воспроизводящие видео могут остаться в безопасности даже несмотря на то, что она использует библиотеку libvpx.