Открити са уязвимости в библиотеките libwebp и libvpx, които се използват от браузърите при визуализиране на мултимедия.
Уязвимостта CVE-2023-5217, свързана с VP8 кодиране на видео в libvpx video codec библиотеката, може да доведе от crash на приложение до изпълнение на зловреден код. Тази библиотека се използва в много други приложения, като напр. Signal, 1Password, Mozilla Firefox, Microsoft Edge, Apple’s Safari, Android уеб браузъра.
CVE-2023-4863 е уязвимост в libwebp библиотеката, използвана за кодиране и декодиране на WebP изображения. Засегнати версии на Google Chrome са версиите преди 116.0.5845.187. Уязвимостта е в алгоритъма на Хъфман за компресия на данни, използван от libwebp библиотеката, която позволява запис на код и изпълнението му в паметта, чрез използване на подправени HTML страници и може да позволи неоторизиран достъп до чувствителна информация.
Засегнати са:
- libwebp <1.3.2
- Google Chrome < 116.0.5845.187
- Firefox < 117.0.1
CERT България препоръчва потребителите и администраторите да приложат необходимите актуализации за браузърите и приложенията, използващи libwebp и libvpx библиотеки.
За повече информация:
libvpx:
https://www.openwall.com/lists/oss-security/2023/09/28/5
libwebp:
https://nvd.nist.gov/vuln/detail/CVE-2023-4863
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_27.html