В сряда Google разпространи поправки за справяне с нов активно експлоатиран нулев ден в браузъра Chrome.

Проследена като CVE-2023-5217, уязвимостта с висока степен на опасност е описана като препълване на буфера на базата на купчина във формата за компресия VP8 в libvpx, библиотека за видеокодек със свободен софтуер от Google и Алианса за отворени медии (AOMedia).

Използването на такива грешки, свързани с препълване на буфера, може да доведе до срив на програмата или изпълнение на произволен код, което да повлияе на нейната наличност и цялост.

Клеман Лесиньо от Групата за анализ на заплахите (TAG) на Google има заслуга за откриването и съобщаването на дефекта на 25 септември 2023 г., а колегата му Мади Стоун отбелязва в X (бивш Twitter), че той е бил използван от комерсиален доставчик на шпионски софтуер за насочване към високорискови лица.

Технологичният гигант не е разкрил никакви допълнителни подробности, освен че е потвърдил, че „знае, че в дивата природа съществува експлойт за CVE-2023-5217“.

С последното откритие броят на уязвимостите от типа „нулев ден“ в Google Chrome, за които са публикувани кръпки тази година, става пет –

CVE-2023-2033 (CVSS оценка: 8,8) – объркване на типа във V8
CVE-2023-2136 (CVSS оценка: 9,6) – препълване на цели числа в Skia
CVE-2023-3079 (CVSS оценка: 8,8) – объркване на типа във V8
CVE-2023-4863 (CVSS оценка: 8,8) – препълване на буфера на купчина в WebP

Разработката идва в момент, когато Google присвои нов CVE идентификатор – CVE-2023-5129 – на критичния недостатък в библиотеката за изображения libwebp – първоначално проследен като CVE-2023-4863 – който е станал обект на активна експлоатация в дивата природа, предвид широката му повърхност за атаки.

На потребителите се препоръчва да обновят Chrome до версия 117.0.5938.132 за Windows, macOS и Linux, за да намалят потенциалните заплахи. На потребителите на браузъри, базирани на Chromium, като Microsoft Edge, Brave, Opera и Vivaldi, също се препоръчва да приложат поправките, когато станат достъпни.