Kolejny Dzień Świstaka i nowy zero-day, tym razem w Chrome. Jest exploit. Łatajcie przeglądarki!

Informacje o CVE-2023-5217

Luka została zgłoszona 25 września przez Clémenta Lecigne z grupy ds. analizy zagrożeń Google. Powoduje przepełnienie bufora sterty w kodowaniu vp8 w libvpx – bibliotece kodeków wideo firmy Google i Alliance for Open Media (AOMedia). Przepełnienie bufora sterty może z kolei spowodować awarię programu lub wykonanie dowolnego kodu.

Błąd CVE-2023-5217 został naprawiony w przeglądarce Google Chrome w wersji 117.0.5938.132 zarówno dla użytkowników systemów Windows, jak i Mac oraz Linux.

Google zauważyło, że exploit CVE-2023-5217 istnieje w środowisku naturalnym, dlatego użytkownikom zaleca się jak najszybszą aktualizację.

„Dostęp do szczegółów błędów i łączy może być ograniczony, dopóki większość użytkowników nie zastosuje poprawki. Zachowamy również ograniczenia, jeśli błąd występuje w bibliotece strony trzeciej, od której zależą inne projekty, ale jeszcze nie został naprawiony” – oznajmiło Google.

Jako ciekawostkę dodamy, że powyższa podatność ma związek z lukami odkrytymi w Apple. Chodzi o dwie luki dnia zerowego (CVE-2023-41064, CVE-2023-41061) połączone i wykorzystane w celu dostarczania oprogramowania szpiegującego Pegasus, należącego do NSO Group do celów wysokiego ryzyka.

W szczególności widoczny jest związek z luką w zabezpieczeniach związaną z przepełnieniem bufora w frameworku ImageI/O (CVE-2023-41064). Okazała się w rzeczywistości tą samą wadą, co CVE-2023-4863 – luka w przeglądarce Chrome pozwalająca na przepełnienie bufora sterty dnia zerowego w WebP, ponieważ jej źródłem jest biblioteka libwebp, wdrożona przez obie firmy.

Firma Google najpierw utworzyła nowy identyfikator CVE dla luki w libwebp (CVE-2023-5129), ale wkrótce został on odrzucony lub wycofany ze względu na duplikat CVE-2023-4863.

Inne naprawione luki w aktualizacji Google

W najnowszej aktualizacji Google naprawiło także dwie inne luki o dużej wadze zgłoszone przez badaczy:

• CVE-2023-5186 – luka w zabezpieczeniach haseł (UAF),
• CVE-2023-5187 – luka w rozszerzeniach (UAF).