Drugi put ovog mjeseca Mozilla mora zakrpiti sigurnosni propust nultog dana, za koju se u početku činilo kako utječe samo na web preglednik Chrome i njegove derivate.
Propust s oznakom CVE-2023-5217 u biblioteci programa libvpx već se koristi za napad na korisnike Chromea.
Google je 27. septembra objavio hitno ažuriranje za Chrome kako bi uklonio problem. Sljedeći dan Mozilla im se pridružila s ažuriranjima za Firefox 118.0.1 i Firefox ESR 115.3.1, kao i za Firefox za Android 118.1.0.
Kodiranje videozapisa
Biblioteka otvorenog koda libvpx koristi se za kodiranje videozapisa. CVE-2023-5217 je prekoračenje međuspremnika u libvpx pri kodiranju videozapisa u formatu VP8
Ako napadač zloupotrijebi ovaj propust, može pokrenuti izvršenje ubačenog zlonamjernog računarskog koda.
Da bi to učinio, mogao je ugraditi pripremljeni video na bilo koju web-stranicu i namamiti potencijalne žrtve na stranicu, primjerice s poveznicom u e-poruci ili putem aplikacije za slanje poruka.
Iako trenutno nisu poznati takvi napadi na Firefox, već samo Chrome, svi korisnici Firefoxa trebali bi odmah instalirati dostupno ažuriranje.
Da biste to učinili, u izborniku otvorite Help, pa About Firefox i slijedite upute. Mozilla klasificira ovaj propust kao kritičan.
Na meti projekti otvorenog računarskog koda
Projekt Tor je 29. septembra ažurirao svoj preglednik kako bi zakrpio sigurnosni propust nultog dana. Istog je dana Mozillina podružnica MZLA Technologies osigurala ažuriranje za Thunderbird, piše Tportal.hr.
Mnogi projekti otvorenog koda koriste takve standardne biblioteke, od kojih se neke također smatraju referentnim implementacijama.
Google je već objavio hitno ažuriranje za Chrome sredinom septembra kako bi zatvorio još jedan kritični sigurnosni propust nultog dana u tom pregledniku.
CVE-2023-4863 u biblioteci programa libwebp otvorenog koda može se iskoristiti s izrađenim slikovnim datotekama u formatu WebP.
Ovu se programsku biblioteku također koristi u Firefoxu, koji je također objavio vlastitu hitnu zakrpu.
U međuvremenu se pokazalo da bi to moglo utjecati i na veliki broj drugih programa čiji programeri koriste biblioteku WebP. Na primjer, Gimp, LibreOffice, Telegram, 1Password i mnogi drugi su potencijalno ranjivi, piše PC World.