Uusi Chrome 0-day lähettää Internetin uuteen Groundhog Day -lukuun

Keskiviikkona Google ilmoitti, että sen Chrome-selaimessa on kriittinen nollapäivähaavoittuvuus, joka avaa Internetin uudelle Groundhog Day -luvulle. Kuten kriittinen nollapäivä, jonka Google paljasti 11. syyskuuta, uusi hyödynnetty haavoittuvuus ei vaikuta vain Chromeen. Mozilla on jo ilmoittanut, että sen Firefox-selain on haavoittuvainen samalle vialle, jota seurataan nimellä CVE-2023-5217. Ja kuten 17 päivää sitten ollut CVE-2023-4863, uusi sijaitsee laajasti käytetyssä koodikirjastossa media-tiedostojen käsittelyyn, erityisesti VP8-muodossa.

Sivut täällä ja täällä luettelevat satoja paketteja vain Ubuntuille ja Debianille, jotka luottavat libvpx-nimiseen kirjastoon. Useimmat selaimet käyttävät sitä, ja ohjelmisto- tai toimittajalista, joka tukee sitä, lukee kuin Internetin kuka on kuka, mukaan lukien Skype, Adobe, VLC ja Android.

Ei ole selvää, kuinka moni libvpx:stä riippuvainen ohjelmistopaketti on haavoittuvainen CVE-2023-5217:lle. Googlen ilmoitus sanoo, että nollapäivä koskee videokoodausta. Sen sijaan nollapäivä, joka hyödynnettiin libwebp:ssä, koodikirjastossa, joka oli haavoittuvainen hyökkäyksille aiemmin tässä kuussa, toimi koodauksessa ja dekoodauksessa. Toisin sanoen, ilmoituksen sanamuodon perusteella, CVE-2023-5217 vaatii kohdelaitteen luomaan mediaa VP8-muodossa. CVE-2023-4863 voitiin hyödyntää, kun kohdelaitteessa yksinkertaisesti näytettiin ansaan asetettu kuva.

“Se, että paketti riippuu libvpx:stä, EI välttämättä tarkoita, että se olisi haavoittuvainen”, Will Dorman, Analygencen vanhempi pääanalyytikko, kirjoitti online-haastattelussa. “Vika on VP8-koodauksessa, joten jos jokin käyttää libvpx:ää vain dekoodaukseen, heillä ei ole mitään huolta.” Jopa tuolla tärkeällä erottelulla on todennäköisesti monia muita paketteja kuin Chrome ja Firefox, jotka vaativat korjausta. “Firefox, Chrome (ja Chromium-pohjaiset) selaimet, sekä muut asiat, jotka altistavat VP8-koodausominaisuudet libvpx:stä JavaScriptiin (ts. verkkoselaimet), näyttävät olevan vaarassa”, hän sanoi.

Vähän tietoa on tällä hetkellä saatavilla villissä hyödynnettyjen hyökkäysten osalta, jotka hyödynsivät viimeisintä nollapäivää. Google-postitus sanoi vain, että koodi, joka hyödyntää virhettä, “on villissä”. Sosiaalisen median postaus Maddie Stonelta, Googlen uhka-analyysiryhmän turvallisuustutkijalta, sanoi, että nollapäivää “käytti kaupallinen valvontatoimittaja”. Google kiitti Clement Lecignea Google’s TAG:sta haavoittuvuuden löytämisestä maanantaina, vain kaksi päivää ennen keskiviikkona julkaisemaansa korjausta.

Nollapäivä on korjattu Chrome 117.0.5938.132:ssa, Firefox 118.0.1:ssa, Firefox ESR 115.3.1:ssa, Firefox Focus for Android 118.1:ssa ja Firefox for Android 118.1:ssa.

Kahdella nollapäivällä on muita yhtäläisyyksiä. Ne molemmat juontuvat puskurin ylivuodoista, jotka sallivat etäkoodin suorituksen vähällä tai ei lainkaan käyttäjän vuorovaikutuksella muuta kuin vierailla haitallisella verkkosivulla. Ne molemmat vaikuttavat mediakirjastoihin, jotka Google julkaisi yli vuosikymmen sitten. Ja molemmat kirjastot on kirjoitettu C:ssä, 50-vuotiaassa ohjelmointikielessä, jota pidetään laajasti turvattomana, koska se on altis muistin korruptoitumishaavoittuvuuksille.

Yksi asia on erilainen tällä kertaa: CVE:n sanamuoto, jonka Google määritti keskiviikkona, on selvä siitä, että haavoittuvuus vaikuttaa paitsi Chromeen myös libvpx:ään. Kun Google määritti CVE-2023-4863:n, se mainitsi vain, että haavoittuvuus vaikutti Chromeen, mikä johti sekaannukseen, jota kriitikot sanoivat hidastaneen muiden vaikuttuneiden ohjelmistopakettien korjaamista.

CVE-2023-5217:n täydellisen laajuuden selvittäminen vie todennäköisesti muutaman päivän lisää. Libvpx-projektin kehittäjät eivät heti vastanneet sähköpostiin, jossa kysyttiin, onko kirjaston korjattu versio saatavilla tai mitä erityisesti vaaditaan hyödyntämään ohjelmistoa, joka käyttää kirjastoa. Toistaiseksi ihmiset, jotka käyttävät sovelluksia, ohjelmistorunkoja tai verkkosivustoja, jotka liittyvät VP8:aan, erityisesti videokoodaukseen, tulisi olla varovaisia.

Lähde: Ars Technica