Un nuevo día 0 de Chrome está enviando a Internet a un nuevo capítulo del Día de la Marmota


imágenes falsas

El miércoles, Google informó que una vulnerabilidad crítica de día cero en su navegador Chrome está abriendo Internet a un nuevo capítulo del Día de la Marmota.

Al igual que un día cero crítico que Google reveló el 11 de septiembre, la nueva vulnerabilidad explotada no afecta solo a Chrome. Mozilla ya ha dicho que su navegador Firefox es vulnerable al mismo error, que se rastrea como CVE-2023-5217. Y al igual que CVE-2023-4863 de hace 17 días, el nuevo reside en una biblioteca de códigos ampliamente utilizada para procesar archivos multimedia, específicamente aquellos en formato VP8.

Las páginas aquí y aquí enumeran cientos de paquetes solo para Ubuntu y Debian que dependen de la biblioteca conocida como libvpx. La mayoría de los navegadores lo utilizan, y la lista de software o proveedores que lo admiten parece un quién es quién en Internet, incluidos Skype, Adobe, VLC y Android.

No está claro cuántos paquetes de software que dependen de libvpx serán vulnerables a CVE-2023-5217. La divulgación de Google dice que el día cero se aplica a la codificación de vídeo. Por el contrario, el exploit de día cero en libwebp, la biblioteca de códigos vulnerable a los ataques de principios de este mes, funcionó para codificar y decodificar. En otras palabras, según la redacción de la divulgación, CVE-2023-5217 requiere un dispositivo específico para crear medios en formato VP8. CVE-2023-4863 podría explotarse cuando un dispositivo objetivo simplemente mostrara una imagen de una trampa explosiva.

«El hecho de que un paquete dependa de libvpx NO significa necesariamente que sea vulnerable», escribió Will Dorman, analista principal senior de Analygence, en una entrevista en línea. «La vuln está en codificación VP8, por lo que si algo usa libvpx solo para decodificar, no tienen nada de qué preocuparse». Incluso con esa importante distinción, es probable que haya muchos más paquetes además de Chrome y Firefox que requerirán parches. «Los navegadores Firefox, Chrome (y los basados ​​en Chromium), además de otras cosas que exponen las capacidades de codificación VP8 desde libvpx a JavaScript (es decir, navegadores web), parecen estar en riesgo», dijo.

Actualmente hay pocos detalles disponibles sobre los ataques salvajes que aprovecharon el último día cero. La publicación de Google sólo decía que el código que explota la falla «existe en la naturaleza». una red social correo Maddie Stone, investigadora de seguridad del Grupo de Análisis de Amenazas de Google, dijo que el día cero estaba «utilizado por un proveedor de vigilancia comercial». Google le dio crédito a Clement Lecigne del TAG de Google por descubrir la vulnerabilidad el lunes, sólo dos días antes del parche que lanzó el miércoles.

El día cero está parcheado en Chrome 117.0.5938.132, Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus para Android 118.1 y Firefox para Android 118.1.

Hay otras similitudes entre los dos días cero. Ambos surgen de desbordamientos de búfer que permiten la ejecución remota de código con poca o ninguna interacción por parte del usuario final, excepto visitar una página web maliciosa. Ambos afectan a las bibliotecas multimedia que Google publicó hace más de una década. Y ambas bibliotecas están escritas en C, un lenguaje de programación de 50 años de antigüedad ampliamente considerado inseguro porque es propenso a sufrir vulnerabilidades de corrupción de memoria.

Una cosa es diferente esta vez: la redacción en el CVE asignado por Google el miércoles es clara: la vulnerabilidad afecta no solo a Chrome sino también a libvpx. Cuando Google asignó CVE-2023-4863, solo mencionó que la vulnerabilidad afectaba a Chrome, lo que generó confusión que, según los críticos, ralentizó la aplicación de parches por parte de otros paquetes de software afectados.

Probablemente pasarán algunos días más hasta que quede claro el alcance completo de CVE-2023-5217. Los desarrolladores del proyecto libvpx no respondieron de inmediato a un correo electrónico preguntando si hay disponible una versión parcheada de la biblioteca o qué se requiere específicamente para explotar el software que utiliza la biblioteca. Por ahora, las personas que utilizan aplicaciones, marcos de software o sitios web que involucran VP8, especialmente para codificación de video, deben tener cuidado.





Source link-49