Уже второй раз за месяц Mozilla вынуждена исправлять 0-day уязвимость в Firefox, которая первоначально, как казалось, затрагивала только Chrome и его производные. Уязвимость CVE-2023-5217 в программной библиотеке libvpx уже используется для атак на пользователей Chrome.
Вечером 27 сентября компания Google выпустила экстренное обновление для своего браузера Chrome, закрывающее эту уязвимость. На следующий день компания Mozilla последовала её примеру, выпустив обновления Firefox 118.0.1 и Firefox ESR 115.3.1. Уязвимость также была устранена в Firefox для Android 118.1.0.
Для кодирования видео используется библиотека с открытым исходным кодом libvpx. Уязвимость CVE-2023-5217 представляет собой переполнение буфера в libvpx при кодировании видео в формат VP8.
Программная библиотека libvpx была первоначально разработана компанией On2 Technologies, которую Google приобрела в 2010 году. Впоследствии Google выпустила программное обеспечение с открытым исходным кодом (видеоформаты VP8 и VP9).
Если злоумышленник воспользуется этой уязвимостью, то вполне вероятно он может внедрить и выполнить вредоносный код. Для этого он может встроить подготовленное видео на любой сайт и заманить на него потенциальную жертву, (например) с помощью ссылки в электронном письме или через мессенджер.
Несмотря на то, что в настоящее время не зафиксировано ни одной атаки на Firefox, всем пользователям Firefox следует немедленно установить доступное обновление. В своем отчёте по безопасности Mozilla классифицирует эту уязвимость как критическую.
Материалы: Pcwelt.de (Frank Ziemann)