Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

chrome zero-day

Kolejny Dzień Świstaka i nowy zero-day, tym razem w Chrome. Jest exploit. Łatajcie przeglądarki!

Kapitan Hack / Cybernews / Kolejny Dzień Świstaka i nowy zero-day, tym razem w Chrome. Jest exploit. Łatajcie przeglądarki!

W tym tygodniu odwijamy kolejne zero-daye niczym sreberka w filmie Dzień Świstaka. Nie tak dawno pisaliśmy o dwóch zero-dayach w urządzeniach Apple, a już odkryto kolejny, tym razem w przeglądarce Chrome. Podatność otrzymała numer CVE-2023-5217 i jest wykorzystywana w środowisku naturalnym.

Autor: 2 min czytania

Informacje o CVE-2023-5217

Luka została zgłoszona 25 września przez Clémenta Lecigne z grupy ds. analizy zagrożeń Google. Powoduje przepełnienie bufora sterty w kodowaniu vp8 w libvpx – bibliotece kodeków wideo firmy Google i Alliance for Open Media (AOMedia). Przepełnienie bufora sterty może z kolei spowodować awarię programu lub wykonanie dowolnego kodu.

Błąd CVE-2023-5217 został naprawiony w przeglądarce Google Chrome w wersji 117.0.5938.132 zarówno dla użytkowników systemów Windows, jak i Mac oraz Linux.

Google zauważyło, że exploit CVE-2023-5217 istnieje w środowisku naturalnym, dlatego użytkownikom zaleca się jak najszybszą aktualizację.

„Dostęp do szczegółów błędów i łączy może być ograniczony, dopóki większość użytkowników nie zastosuje poprawki. Zachowamy również ograniczenia, jeśli błąd występuje w bibliotece strony trzeciej, od której zależą inne projekty, ale jeszcze nie został naprawiony” – oznajmiło Google.

Jako ciekawostkę dodamy, że powyższa podatność ma związek z lukami odkrytymi w Apple. Chodzi o dwie luki dnia zerowego (CVE-2023-41064, CVE-2023-41061) połączone i wykorzystane w celu dostarczania oprogramowania szpiegującego Pegasus, należącego do NSO Group do celów wysokiego ryzyka.

W szczególności widoczny jest związek z luką w zabezpieczeniach związaną z przepełnieniem bufora w frameworku ImageI/O (CVE-2023-41064). Okazała się w rzeczywistości tą samą wadą, co CVE-2023-4863 – luka w przeglądarce Chrome pozwalająca na przepełnienie bufora sterty dnia zerowego w WebP, ponieważ jej źródłem jest biblioteka libwebp, wdrożona przez obie firmy.

Firma Google najpierw utworzyła nowy identyfikator CVE dla luki w libwebp (CVE-2023-5129), ale wkrótce został on odrzucony lub wycofany ze względu na duplikat CVE-2023-4863.

Inne naprawione luki w aktualizacji Google

W najnowszej aktualizacji Google naprawiło także dwie inne luki o dużej wadze zgłoszone przez badaczy:

  • CVE-2023-5186 – luka w zabezpieczeniach haseł (UAF),
  • CVE-2023-5187 – luka w rozszerzeniach (UAF).

Popularne

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
5 min czytania 5 cze 2019 08:00
Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje

Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje

Splunk opublikował ważne informacje, dotyczące szeregu nowych podatności w swoich produktach Splunk Enterprise i Splunk Cloud Platform. Luki mogą umożliwić atakującym wykonanie nieautoryzowanego kodu Ja...
7 min czytania 3 paź 2025 07:06
Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe

Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe

W środę 9 października użytkownicy platformy Microsoft Azure na całym świecie doświadczyli poważnych zakłóceń. Wiele usług stało się niedostępnych, a administratorzy nie mogli nawet zalogować się do portalu...
4 min czytania wczoraj
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jeśli masz odrobinę szczęścia lub „odpowiednie umiejętności” i potrafisz zdobyć lokalne uprawnienia administracyjne na Twoim komputerze w firmie lub zaliczasz się do grona tych szczęściarzy, którzy pracuj...
10 min czytania 20 sty 2020 12:00
Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!

Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!

Niedawno załatana wysoce poważna luka w zabezpieczeniach VMware jest wykorzystywana jako zero-day od października 2024 roku do wykonywania kodu z podwyższonymi uprawnieniami. Taką informacją podzieliło się w...
4 min czytania 6 paź 2025 09:22
Popularne
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Uwaga, administratorzy oraz zespoły bezpieczeństwa Splunk! Sześć krytycznych luk w Splunk Enterprise – analiza i rekomendacje
Jak awaria Azure Front Door rzuciła cień na globalne usługi chmurowe
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?
Czego nie mówi Broadcom? Luka w VMware jest banalna do wykorzystania i korzysta z niej co najmniej jedna grupa hakerska!

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.