Критични уязвимости в библиотеките libwebp и libvpx, използвани в браузърите Google Chrome и Mozilla Firefox

Открити са уязвимости в библиотеките libwebp и libvpx, които се използват от браузърите при визуализиране на мултимедия.

Уязвимостта CVE-2023-5217, свързана с VP8 кодиране на видео в libvpx video codec библиотеката, може да доведе от crash на приложение до изпълнение на зловреден код. Тази библиотека се използва в много други приложения, като напр. Signal, 1Password, Mozilla Firefox, Microsoft Edge, Apple’s Safari, Android уеб браузъра.

CVE-2023-4863 е уязвимост в libwebp библиотеката, използвана за кодиране и декодиране на WebP изображения. Засегнати версии на Google Chrome са версиите преди 116.0.5845.187. Уязвимостта е в алгоритъма на Хъфман за компресия на данни, използван от libwebp библиотеката, която позволява запис на код и изпълнението му в паметта, чрез използване на подправени HTML страници и може да позволи неоторизиран достъп до чувствителна информация.

Засегнати са:

  • libwebp <1.3.2
  • Google Chrome < 116.0.5845.187
  • Firefox < 117.0.1

CERT България препоръчва потребителите и администраторите да приложат необходимите актуализации за браузърите и приложенията, използващи libwebp и libvpx библиотеки.

За повече информация:

libvpx:
https://www.openwall.com/lists/oss-security/2023/09/28/5

libwebp:
https://nvd.nist.gov/vuln/detail/CVE-2023-4863
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_27.html