Una nuova vulnerabilità critica zero-day è stata segnalata da Google nel suo browser Chrome, aprendo Internet a un nuovo capitolo di problemi di sicurezza. La vulnerabilità, tracciata come CVE-2023-5217, non colpisce solo Chrome. Anche Mozilla ha dichiarato che il suo browser Firefox è vulnerabile allo stesso bug. La vulnerabilità risiede in una libreria di codice ampiamente utilizzata per l’elaborazione dei file multimediali, specificamente quelli nel formato VP8.
Molti pacchetti per Ubuntu e Debian dipendono dalla libreria conosciuta come libvpx, utilizzata dalla maggior parte dei browser e supportata da software e fornitori come Skype, Adobe, VLC e Android. Non è chiaro quanti pacchetti software che dipendono da libvpx saranno vulnerabili a CVE-2023-5217. La divulgazione di Google afferma che lo zero-day si applica alla codifica video. Tuttavia, se un pacchetto dipende solo da libvpx per la decodifica, non dovrebbe essere vulnerabile.
Nonostante questa distinzione importante, è probabile che molti altri pacchetti, oltre a Chrome e Firefox, richiederanno la correzione. Gli attacchi in-the-wild che hanno sfruttato l’ultimo zero-day sono ancora poco chiari. Google ha dichiarato solo che il codice che sfrutta la falla “esiste in natura”. Un post sui social media da parte di Maddie Stone, una ricercatrice di sicurezza nel Gruppo di Analisi delle Minacce di Google, ha detto che lo zero-day era “in uso da un fornitore di sorveglianza commerciale”.
La vulnerabilità zero-day è stata corretta in Chrome 117.0.5938.132, Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus per Android 118.1 e Firefox per Android 118.1. Entrambe le vulnerabilità zero-day derivano da overflow di buffer che permettono l’esecuzione di codice remoto con poca o nessuna interazione da parte di un utente finale, se non visitare una pagina web dannosa.
