Używasz Firefoksa? Koniecznie zainstaluj tę aktualizację

Niedawno w przeglądarkach został wykryty poważny bug związany w obsługą formatu webp. Jedną z narażonych na jego działanie był Firefox. Jak się jednak okazało, na tym nie koniec problemów. Teraz wykryto kolejną podatność, którą należy jak najszybciej załatać, jeśli nie chce się paść ofiarą ataku. W tym właśnie celu jest ona używana do szkodzenia użytkownikom Chrome.
Henryk Tur
03.10.2023|Przeczytasz w 2 minuty
Firefox
Firefox

Wykryta podatność ma kod CVE-2023-5217. Jest ona klasyfikowana jako zagrożenie 0-day, czyli bardzo poważne. Jej źródło to biblioteka libvpx, obsługująca kodeki audio i wideo. Została stworzona jeszcze w pierwszej dekadzie XXI wieku przez firmę On2 Technologies, który w 2010 roku przejął Google. Biblioteka została udostępniona na zasadach open source, a w chwili obecnej wspiera formaty wideo VP8 i VP9. Jak jej wykorzystanie może zaszkodzić?

Zła i dobra wiadomość dla Firefoksa

Poprzedni duży problem pojawił się w połowie września i był powiązany z biblioteką obsługującą webp. Mozilla zareagowała szybko i udostępniła odpowiednie łatki dla Firefoksa oraz Thunderbirda. Teraz pojawił się kolejny problem – i to zła wiadomość. Biblioteka libvpx używana jest powszechnie przez większość przeglądarek, a pod koniec września przeprowadzono z jej użyciem kilka ataków na użytkowników Chrome. Jak to działa?

Celem libvpx jest kodowanie materiałów wideo. Jednak jeśli podczas kodowania mediów w formacie V8 zostanie wykorzystana podatność, wówczas bufor ulega przepełnieniu, co otwiera przed atakującym możliwość wstrzyknięcia oraz wykonania złośliwego kodu. Pocieszający jest fakt, że w celu użycia CVE-2023-5217 należy przygotować odpowiednio spreparowany materiał wideo. Może on znajdować się na stronie lub zostać dostarczony ofierze przez komunikator lub w formie linka. Warto przy tym dodać, że z libvpx korzystają nie tylko przeglądarki, ale również rozmaite aplikacje, w tym popularny odtwarzacz multimedialny VLC Player oraz aplikacja do konwersji wideo – Handbrake.

Zagrożenie dla Firefoksa

Czytaj też: Popularne przeglądarki internetowe mają problem. Potrzebna jak najszybsza aktualizacja

Google wypuścił łatkę dla Chrome już 27 września, teraz Mozilla wprowadza podobną u siebie – i to dobra wiadomość. Wystarczy zaktualizować Firefoksa i problem z głowy. Po aktualizacji powinien mieć numer 118.0.1. To samo dotyczy edycji na system Android. Natomiast zabezpieczony przed CVE-2023-5217 Firefox ESR będzie nosić numer 115.3.1.

Dlatego nie ryzykuj, tylko od razu kliknij w swoim Firefoksie zakładkę “Pomoc” i wybierz z listy “O programie Firefox”. Aktualizacja pobierze się i zainstaluje automatycznie.

UdostępnijTwitter