W tym tygodniu odwijamy kolejne zero-daye niczym sreberka w filmie Dzień Świstaka. Nie tak dawno pisaliśmy o dwóch zero-dayach w urządzeniach Apple, a już odkryto kolejny, tym razem w przeglądarce Chrome. Podatność otrzymała numer CVE-2023-5217 i jest wykorzystywana w środowisku naturalnym.
Informacje o CVE-2023-5217
Luka została zgłoszona 25 września przez Clémenta Lecigne z grupy ds. analizy zagrożeń Google. Powoduje przepełnienie bufora sterty w kodowaniu vp8 w libvpx – bibliotece kodeków wideo firmy Google i Alliance for Open Media (AOMedia). Przepełnienie bufora sterty może z kolei spowodować awarię programu lub wykonanie dowolnego kodu.
Błąd CVE-2023-5217 został naprawiony w przeglądarce Google Chrome w wersji 117.0.5938.132 zarówno dla użytkowników systemów Windows, jak i Mac oraz Linux.
Google zauważyło, iż exploit CVE-2023-5217 istnieje w środowisku naturalnym, dlatego użytkownikom zaleca się jak najszybszą aktualizację.
„Dostęp do szczegółów błędów i łączy może być ograniczony, dopóki większość użytkowników nie zastosuje poprawki. Zachowamy również ograniczenia, jeżeli błąd występuje w bibliotece strony trzeciej, od której zależą inne projekty, ale jeszcze nie został naprawiony” – oznajmiło Google.
Jako ciekawostkę dodamy, iż powyższa podatność ma związek z lukami odkrytymi w Apple. Chodzi o dwie luki dnia zerowego (CVE-2023-41064, CVE-2023-41061) połączone i wykorzystane w celu dostarczania systemu szpiegującego Pegasus, należącego do NSO Group do celów wysokiego ryzyka.
W szczególności widoczny jest związek z luką w zabezpieczeniach związaną z przepełnieniem bufora w frameworku ImageI/O (CVE-2023-41064). Okazała się w rzeczywistości tą samą wadą, co CVE-2023-4863 – luka w przeglądarce Chrome pozwalająca na przepełnienie bufora sterty dnia zerowego w WebP, ponieważ jej źródłem jest biblioteka libwebp, wdrożona przez obie firmy.
Firma Google najpierw utworzyła nowy identyfikator CVE dla luki w libwebp (CVE-2023-5129), ale niedługo został on odrzucony lub wycofany ze względu na duplikat CVE-2023-4863.
Inne naprawione luki w aktualizacji Google
W najnowszej aktualizacji Google naprawiło także dwie inne luki o dużej wadze zgłoszone przez badaczy:
- CVE-2023-5186 – luka w zabezpieczeniach haseł (UAF),
- CVE-2023-5187 – luka w rozszerzeniach (UAF).