Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

chrome zero-day

Kolejny Dzień Świstaka i nowy zero-day, tym razem w Chrome. Jest exploit. Łatajcie przeglądarki!

Kapitan Hack / Cybernews / Kolejny Dzień Świstaka i nowy zero-day, tym razem w Chrome. Jest exploit. Łatajcie przeglądarki!

W tym tygodniu odwijamy kolejne zero-daye niczym sreberka w filmie Dzień Świstaka. Nie tak dawno pisaliśmy o dwóch zero-dayach w urządzeniach Apple, a już odkryto kolejny, tym razem w przeglądarce Chrome. Podatność otrzymała numer CVE-2023-5217 i jest wykorzystywana w środowisku naturalnym.

Autor: 2 min czytania

Informacje o CVE-2023-5217

Luka została zgłoszona 25 września przez Clémenta Lecigne z grupy ds. analizy zagrożeń Google. Powoduje przepełnienie bufora sterty w kodowaniu vp8 w libvpx – bibliotece kodeków wideo firmy Google i Alliance for Open Media (AOMedia). Przepełnienie bufora sterty może z kolei spowodować awarię programu lub wykonanie dowolnego kodu.

Błąd CVE-2023-5217 został naprawiony w przeglądarce Google Chrome w wersji 117.0.5938.132 zarówno dla użytkowników systemów Windows, jak i Mac oraz Linux.

Google zauważyło, że exploit CVE-2023-5217 istnieje w środowisku naturalnym, dlatego użytkownikom zaleca się jak najszybszą aktualizację.

„Dostęp do szczegółów błędów i łączy może być ograniczony, dopóki większość użytkowników nie zastosuje poprawki. Zachowamy również ograniczenia, jeśli błąd występuje w bibliotece strony trzeciej, od której zależą inne projekty, ale jeszcze nie został naprawiony” – oznajmiło Google.

Jako ciekawostkę dodamy, że powyższa podatność ma związek z lukami odkrytymi w Apple. Chodzi o dwie luki dnia zerowego (CVE-2023-41064, CVE-2023-41061) połączone i wykorzystane w celu dostarczania oprogramowania szpiegującego Pegasus, należącego do NSO Group do celów wysokiego ryzyka.

W szczególności widoczny jest związek z luką w zabezpieczeniach związaną z przepełnieniem bufora w frameworku ImageI/O (CVE-2023-41064). Okazała się w rzeczywistości tą samą wadą, co CVE-2023-4863 – luka w przeglądarce Chrome pozwalająca na przepełnienie bufora sterty dnia zerowego w WebP, ponieważ jej źródłem jest biblioteka libwebp, wdrożona przez obie firmy.

Firma Google najpierw utworzyła nowy identyfikator CVE dla luki w libwebp (CVE-2023-5129), ale wkrótce został on odrzucony lub wycofany ze względu na duplikat CVE-2023-4863.

Inne naprawione luki w aktualizacji Google

W najnowszej aktualizacji Google naprawiło także dwie inne luki o dużej wadze zgłoszone przez badaczy:

  • CVE-2023-5186 – luka w zabezpieczeniach haseł (UAF),
  • CVE-2023-5187 – luka w rozszerzeniach (UAF).

Popularne

YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a

YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a

Jeszcze w piątek opisywaliśmy nowe podatności typu zero-day, o nazwach YellowKey oraz GreenPlasma, uderzające w mechanizmy bezpieczeństwa systemów Windows. Najnowsze informacje pokazują jednak, że spr...
8 min czytania 18 maj 2026 07:58
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
5 min czytania 5 cze 2019 08:00
Kolejny poważny zero-day. Nowe luki omijają BitLockera i pozwalają przejąć uprawnienia SYSTEM

Kolejny poważny zero-day. Nowe luki omijają BitLockera i pozwalają przejąć uprawnienia SYSTEM

Eksperci ds. cyberbezpieczeństwa alarmują o dwóch nowych lukach typu zero-day w systemie Windows, mogących mieć poważne konsekwencje dla bezpieczeństwa użytkowników i firm. Podatności, którym nadano naz...
8 min czytania 15 maj 2026 07:29
PowerShell bez powershell.exe. Dlaczego klasyczne detekcje coraz częściej zawodzą

PowerShell bez powershell.exe. Dlaczego klasyczne detekcje coraz częściej zawodzą

Przez lata wykrywanie aktywności PowerShella było stosunkowo proste. Wystarczyło monitorować powershell.exe, analizować command line i szukać charakterystycznych parametrów, typu -enc, bypass albo hidden...
4 min czytania 14 maj 2026 07:16
Jeszcze o Mythos!

Jeszcze o Mythos!

W bardzo dobrym artykule autorstwa mojego redakcyjnego kolegi możemy znaleźć kompendium wiedzy o Mythos – niedawno ogłoszonym modelu AI od Anthropic. Produkt ten wywołał panikę w branży ze względu na zdolno...
6 min czytania 30 kwi 2026 08:00
Popularne
YellowKey: koniec mitu o bezpieczeństwie BitLockera? Nowy zero-day pozwala ominąć szyfrowanie przy użyciu zwykłego pendrive’a
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Kolejny poważny zero-day. Nowe luki omijają BitLockera i pozwalają przejąć uprawnienia SYSTEM
PowerShell bez powershell.exe. Dlaczego klasyczne detekcje coraz częściej zawodzą
Jeszcze o Mythos!
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.