Das neue Chrome 0-Day schickt das Internet in ein neues Kapitel des Murmeltier-Tages – Ars Technica

Eine kritische Zero-Day-Sicherheitslücke, die Google am Mittwoch in seinem Chrome-Browser gemeldet hat, eröffnet im Internet ein neues Kapitel zum Murmeltier-Tag.

Wie Google am kritischen Tag Null Es wurde am 11. September enthülltDie neue ausgenutzte Sicherheitslücke betrifft nicht nur den Chrome-Browser. Tatsächlich, Mozilla Er sagte Sein Firefox-Browser ist anfällig für denselben Fehler, der als CVE-2023-5217 verfolgt wird. Wie CVE-2023-4863 vor 17 Tagen basiert die neue Version auf einer Codebibliothek, die häufig zur Verarbeitung von Mediendateien, insbesondere solchen im VP8-Format, verwendet wird.

Seiten Hier Und Hier Listen Sie Hunderte von Paketen allein für Ubuntu und Debian auf, die von der sogenannten Bibliothek abhängen libvpx. Wird von den meisten Browsern verwendet und bestehende Die Software oder Anbieter, die sie unterstützen, lesen sich wie das Who-is-Who des Internets, einschließlich Skype, Adobe, VLC und Android.

Es ist nicht klar, wie viele Softwarepakete, die von libvpx abhängen, für CVE-2023-5217 anfällig sein werden. Laut der Offenlegung von Google gilt Zero-Day für die Videokodierung. Im Gegensatz dazu führte der Zero-Day-Exploit in libwebp, der anfälligen Codebibliothek, Anfang dieses Monats sowohl zur Verschlüsselung als auch zur Entschlüsselung. Mit anderen Worten: Basierend auf der Formulierung in der Offenlegung erfordert CVE-2023-5217 ein Zielgerät, um Medien im VP8-Format zu erstellen. CVE-2023-4863 kann ausgenutzt werden, wenn das Zielgerät ein Bild mit einer Sprengladung anzeigt.

„Die Tatsache, dass ein Paket von libvpx abhängt, bedeutet nicht unbedingt, dass es angreifbar ist“, schrieb Will Dorman, Senior Principal Analyst bei Analygence, in einem Online-Interview. „Die Schwachstelle liegt in der VP8-Verschlüsselung. Wenn also etwas nur libvpx zur Entschlüsselung verwendet, besteht kein Grund zur Sorge.“ Trotz dieser wichtigen Unterscheidung gibt es neben Chrome und Firefox wahrscheinlich noch viele Pakete, die gepatcht werden müssen. „Firefox und Chrome (die auf Chromium basieren) sowie andere Dinge, die VP8-Verschlüsselungsfunktionen von libvpx bis JavaScript offenlegen (d. h. Webbrowser), scheinen gefährdet zu sein“, sagte er.

Derzeit sind nur wenige Details über Bodenangriffe verfügbar, bei denen die neueste Zero-Day-Attacke ausgenutzt wurde. In dem Beitrag von Google hieß es lediglich, dass der Code, der den Fehler ausnutzt, „in freier Wildbahn existiert“. Sozialen Medien Post Zero Day wird „von einem kommerziellen Überwachungsanbieter verwendet“, sagte Maddy Stone, Sicherheitsforscherin in der Bedrohungsanalysegruppe von Google. Google dankte Clement Lecigne von Googles TAG für die Entdeckung der Sicherheitslücke am Montag, nur zwei Tage vor der Veröffentlichung des Patches am Mittwoch.

Zero-Day wurde in Chrome 117.0.5938.132, Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus für Android 118.1 und Firefox für Android 118.1 gepatcht.

Es gibt weitere Ähnlichkeiten zwischen den beiden Nulltagen. Beide sind auf Pufferüberläufe zurückzuführen, die eine Remote-Codeausführung mit wenig oder gar keiner Interaktion seitens des Endbenutzers ermöglichen, außer dem Besuch einer bösartigen Webseite. Beides betrifft Medienbibliotheken, die Google vor mehr als einem Jahrzehnt veröffentlicht hat. Beide Bibliotheken sind in C geschrieben, einer 50 Jahre alten Programmiersprache, die weithin als unsicher gilt, da sie anfällig für Speicherbeschädigungen ist.

Eines ist dieses Mal anders: Aus dem Wortlaut des am Mittwoch an Google vergebenen CVE geht klar hervor, dass die Schwachstelle nicht nur Chrome, sondern auch libvpx betrifft. Als Google CVE-2023-4863 identifizierte, gab es lediglich an, dass die Schwachstelle Chrome betreffe, was zu Verwirrung führte, da Kritiker sagten, dass dies den Patch-Prozess durch andere betroffene Softwarepakete verlangsamte.

Es wird wahrscheinlich noch ein paar Tage dauern, bis der volle Umfang von CVE-2023-5217 klar wird. Die Entwickler des libvpx-Projekts antworteten nicht sofort auf eine E-Mail mit der Frage, ob eine gepatchte Version der Bibliothek verfügbar sei oder was konkret erforderlich sei, um Programme auszunutzen, die die Bibliothek nutzen. Derzeit sollten Personen, die Anwendungen, Software-Frameworks oder Websites verwenden, die VP8 enthalten, insbesondere für die Videokodierung, Vorsicht walten lassen.