Upozorňujeme na kritické zranitelnosti v knihovnách webových prohlížečů
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) upozorňuje na kritické zranitelnosti, které byly objeveny v aplikacích internetových prohlížečů (Chrome, Firefox, Edge a dalších). Pouhým zobrazením upraveného obrázku nebo videa i bez další uživatelské interakce (tzv. zero-click) může dojít ke vzdálenému spuštění cizího kódu (RCE) a ovládnutí aplikace nebo celého systému útočníkem. Zranitelnosti objevené v knihovnách libwebp (sloužící pro zpracování obrazového formátu WebP) a libvpx (sloužící pro zpracování videoformátu VP8) jsou již aktivně zneužívané a pro zranitelnost v knihovně libwebp byl i zveřejněn proof-of-concept (POC) jejího zneužití.
- Zranitelnost v knihovně libwebp má označení CVE-2023-4863 (CVSS 8.8) a byla zveřejněna 12. září 2023.
- Zranitelnost v knihovně libvpx má označení CVE-2023-5217 (CVSS zatím neurčeno) a byla zveřejněna 28. září 2023.
Tyto knihovny jsou součástí různých aplikací a systémů (např. webové prohlížeče nebo operační systémy) a z pozice správce nebo uživatele není snadné ověřit, zda je aplikace zranitelná či nikoliv. Nekompletní seznam zranitelných aplikací je uveden níže.
Doporučujeme provést co nejdříve aktualizace zranitelných aplikací a neodkládat automatické aktualizace. Lze také očekávat, že aktualizace aplikací budou jejich tvůrci vydávat v průběhu následujících dnů.
Zranitelné aplikace a systémy (pozn. jedná se o nekompletní výčet nejpoužívanějších aplikací a systémů, o kterých je známo, že byly touto zranitelností postiženy. Další položky mohou být postupně doplňovány.):
- Apple iOS, iPad OS a macOS - opraveno 8. září
- Google Chrome - opraveno ve verzi 117.0.5938.132 vydané v 27. září
- Mozilla Firefox - opraveno ve verzích 118.0.1 a 115.3.1 vydané 28. září
- Microsoft Edge – opravena byla pouze zranitelnost knihovny libwebp ve verzích 109.0.1518.140 a 117.0.2045.31 vydaných 15. září, v současné době není zřejmé, zda je tento prohlížeč postižen i zranitelností knihovny libvpx.
- Aplikace využívající platformu Electron (např. Visual Studio Code, Microsoft Teams, Signal Desktop, Discord apod.).
- Knihovny jsou součástí operačních systémů Linux (např. Debian, Ubuntu nebo RedHat) - typicky se jedná o systémové balíčky pojmenované přímo jako libvpx a libwebp.
Více informací:
- CVE-2023-4863: Heap buffer overflow in libwebp
- CVE-2023-5217: Heap buffer overflow in libvpx
- https://blog.isosceles.com/the-webp-0day/ - technický popis zranitelnosti v knihovně libwebp a POC
Poslední zprávy z rubriky Kriminalita a bezpečnost:
Přečtěte si také:
Prezentace
26.04.2024 Historie a vývoj vodovodních baterií: Od...
25.04.2024 Pobřeží Egejského moře - ideální tip na všechny...
24.04.2024 Výsledková sezóna: Jak se daří výrobcům čipů a...
Okénko investora
Olívia Lacenová, Wonderinterest Trading Ltd.
Dlouho očekávaná událost ze světa kryptoměn. Přinese další halving bitcoinu nová maxima?
Štěpán Křeček, BHS
Petr Lajsek, Purple Trading
Ali Daylami, BITmarkets
Michal Brothánek, AVANT IS
Miroslav Novák, AKCENTA
Spotřebitelská inflace v eurozóně odeznívá, pro služby to však úplně neplatí
Jiří Cimpel, Cimpel & Partneři
Jakub Petruška, Zlaťáky.cz