Компания Mozilla выпустила важнейшее обновление для браузера Firefox, доведя его до версии 118.0.1, в котором устранена критическая уязвимость, уже используемая злоумышленниками. Кроме того, доступно обновление для Firefox ESR 115.3.
Это уже второй случай за месяц, когда Mozilla вынуждена исправлять уязвимость нулевого дня в Firefox. Первоначально, как оказалось, она затрагивала только Google Chrome и его производные. Уязвимость, идентифицированная как CVE-2023-5217 в программной библиотеке libvpx, уже была использована злоумышленниками, нацеленными на пользователей Chrome. Компания Google оперативно выпустила 27 сентября экстренное обновление для Chrome, устраняющее уязвимость. В ответ на это компания Mozilla на следующий день выпустила обновления для Firefox 118.0.1 и Firefox ESR 115.3.1. Mozilla также устранила уязвимость в Firefox для Android 118.1.0.
В основе проблемы лежит библиотека libvpx, инструмент с открытым исходным кодом, используемый для кодирования видео. CVE-2023-5217 представляет собой уязвимость переполнения буфера в libvpx, в частности, при кодировании видео в формате VP8. Эксплуатация этой уязвимости позволяет внедрить и выполнить вредоносный код. Для этого злоумышленник может внедрить подготовленное видео в веб-страницу и заманить потенциальную жертву на эту страницу, часто используя ссылки в электронной почте или приложениях-мессенджерах.
Несмотря на то, что до сих пор не было зафиксировано ни одной атаки на Firefox - пострадали только пользователи Chrome, - Mozilla подчеркивает, что всем пользователям Firefox следует незамедлительно установить доступное обновление. Для этого достаточно перейти в меню "Справка" > "О Firefox" и следовать приведенным инструкциям. В своем отчете по безопасности Mozilla классифицирует эту уязвимость как критическую.
Связанные исправления безопасности:
29 сентября проект Tor также принял меры, обновив свой браузер для устранения уязвимости нулевого дня. Для Tor Browser 12.5.6 разработчики перенесли соответствующее исправление безопасности из Firefox ESR 115.3.1 в более старую версию браузера, поскольку Tor Browser 12.5.x по-прежнему основан на Firefox ESR 102.15.
Кроме того, 29 сентября дочерняя компания Mozilla - MZLA Technologies - выпустила обновление безопасности для Thunderbird. Thunderbird 115.3.1 содержит исправление уязвимости нулевого дня CVE-2023-5217, а также несколько дополнительных исправлений.
Сложный месяц для безопасности браузеров:
Программная библиотека libvpx, изначально разработанная компанией On2 Technologies, специализирующейся на видеокодеках, была приобретена Google в 2010 году и впоследствии выпущена с открытым исходным кодом. Эта библиотека поддерживает видеоформаты VP8 и VP9 и широко используется многими проектами с открытым исходным кодом в качестве стандартной эталонной реализации.
Ранее в сентябре компания Google была вынуждена выпустить экстренное обновление для браузера Chrome, чтобы устранить еще одну критическую уязвимость нулевого дня, обозначенную как CVE-2023-4863, в программной библиотеке libwebp с открытым исходным кодом. Эта уязвимость может быть использована с помощью поддельных файлов изображений в формате WebP. Примечательно, что Firefox также использует библиотеку libwebp и в ответ на это выпустил собственное аварийное исправление. Как выяснилось, уязвимыми могут быть и многие другие программные приложения, разработчики которых опираются на библиотеку WebP. В качестве примера можно привести Gimp, LibreOffice, Telegram, 1Password и многие другие.
В ближайшие дни станет известно, приведет ли уязвимость CVE-2023-5217 в программной библиотеке libvpx к аналогичным проблемам безопасности для других программных приложений. Примечательно, что популярный медиаплеер VLC, а также другие медиаплееры с открытым исходным кодом и видеоконвертеры, такие как MPlayer и Handbrake, также используют libvpx, что может подвергнуть их риску. Не теряйте бдительности и следите за регулярным обновлением всего программного обеспечения для своевременного устранения этих уязвимостей.
PS: Дорогие читатели не забывайте ставить лайки если Вам понравилась статья, это очень помогает продвижению канала "TechTalk". Спасибо заранее!
⚡⚡⚡ Друзья! Если вам нравится то, что я делаю, и вы хотите, чтобы это продолжалось, приглашаю поддержать меня и внести свой посильный вклад. Вместе мы сила! Спасибо за вашу поддержку! ⚡⚡⚡