LINUXTALKS.CO

Критическая 0-day уязвимость в Chrome, Firefox и libwebp, эксплуатируемая через изображения WebP

 

L


0

1

Компания Google опубликовала обновление браузера Chrome 116.0.5845.187, в котором устранена критическая уязвимость (CVE-2023-4863), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения. Детали пока не раскрываются, известно лишь, что критическая уязвимость вызвана переполнением буфера в обработчике формата изображений WebP. Уязвимость позволяет выполнить свой код при обработке специально оформленных WebP-изображений. Опасность уязвимости усугубляет то, что в сети выявлен рабочий эксплоит, который уже применяется злоумышленниками для совершения атак (0-day).

Судя по недавним изменениям и информации из трекеров ошибок Debian и SUSE, уязвимость также затрагивает развиваемую Google библиотеку libwebp, используемую для поддержки формата WebP в движке Chromium и многих сторонних проектах, например, в Firefox.

Обновление Firefox 117.0.1 с устранением уязвимости в WebP

// cc-by opennet.ru
// converted with crypt’s opennet autoreposter

>>> Подробности

★★★☆☆

недурно!

crypt    
★★★☆☆
FreeBSD / Chrome

Типа побег из браузерной песочницы? Да ещё и сразу в обоих движках.. Да, серьезно

Вообще наверное под браузер действительно надо виртуалку держать или как сейчас правильно в 2023?

ThePlayerZero    
★★
Android / Chrome
Ответ на: комментарий от ThePlayerZero

надо виртуалку держать

Не спасет.

odalist    
★★★★★★★
Linux / Firefox
Ответ на: комментарий от ThePlayerZero

или как сейчас правильно в 2023?

Отца русской демократии может спасти лишь полное отключение от интернета.

odalist    
★★★★★★★
Linux / Firefox

В Debian обновления уже прилетели.

odalist    
★★★★★★★
Linux / Firefox
Ограничение на отправку комментариев: только для зарегистрированных пользователей, score>=90