Kolejny Dzień Świstaka i nowy zero-day, tym razem w Chrome. Jest exploit. Łatajcie przeglądarki!

W tym tygodniu odwijamy kolejne zero-daye niczym sreberka w filmie Dzień Świstaka. Nie tak dawno pisaliśmy o dwóch zero-dayach w urządzeniach Apple, a już odkryto kolejny, tym razem w przeglądarce Chrome. Podatność otrzymała numer CVE-2023-5217 i jest wykorzystywana w środowisku naturalnym.

Autor: Kapitan Hack Data dodania: 29 wrz 2023 08:00 2 min czytania

Informacje o CVE-2023-5217

Luka została zgłoszona 25 września przez Clémenta Lecigne z grupy ds. analizy zagrożeń Google. Powoduje przepełnienie bufora sterty w kodowaniu vp8 w libvpx – bibliotece kodeków wideo firmy Google i Alliance for Open Media (AOMedia). Przepełnienie bufora sterty może z kolei spowodować awarię programu lub wykonanie dowolnego kodu.

Błąd CVE-2023-5217 został naprawiony w przeglądarce Google Chrome w wersji 117.0.5938.132 zarówno dla użytkowników systemów Windows, jak i Mac oraz Linux.

Google zauważyło, że exploit CVE-2023-5217 istnieje w środowisku naturalnym, dlatego użytkownikom zaleca się jak najszybszą aktualizację.

„Dostęp do szczegółów błędów i łączy może być ograniczony, dopóki większość użytkowników nie zastosuje poprawki. Zachowamy również ograniczenia, jeśli błąd występuje w bibliotece strony trzeciej, od której zależą inne projekty, ale jeszcze nie został naprawiony” – oznajmiło Google.

Jako ciekawostkę dodamy, że powyższa podatność ma związek z lukami odkrytymi w Apple. Chodzi o dwie luki dnia zerowego (CVE-2023-41064, CVE-2023-41061) połączone i wykorzystane w celu dostarczania oprogramowania szpiegującego Pegasus, należącego do NSO Group do celów wysokiego ryzyka.

W szczególności widoczny jest związek z luką w zabezpieczeniach związaną z przepełnieniem bufora w frameworku ImageI/O (CVE-2023-41064). Okazała się w rzeczywistości tą samą wadą, co CVE-2023-4863 – luka w przeglądarce Chrome pozwalająca na przepełnienie bufora sterty dnia zerowego w WebP, ponieważ jej źródłem jest biblioteka libwebp, wdrożona przez obie firmy.

Firma Google najpierw utworzyła nowy identyfikator CVE dla luki w libwebp (CVE-2023-5129), ale wkrótce został on odrzucony lub wycofany ze względu na duplikat CVE-2023-4863.