Google heeft een kritieke zerodaykwetsbaarheid gemeld die zich bevond in de VP8-videocodering van videocodecbibliotheek libvpx. VP8 wordt onder meer door de Chrome- en Firefox-browsers gebruikt. Met de kwetsbaarheid, die bekendstaat onder CVE-2023-5217, konden kwaadwillenden een heapbufferoverflow veroorzaken, en vervolgens op afstand malafide code uitvoeren via een gecompromitteerde html-pagina. Google laat op het moment verder weinig informatie over de bug los, naar eigen zeggen tot de kwetsbaarheid voor 'een merendeel' van de gebruikers is gefixt.
Er is nog niets bekend over mogelijke aanvallen die door deze bug zijn uitgevoerd. Wel schrijft een securityonderzoeker van Google op X dat deze 'werd gebruikt door een commerciële surveillanceleverancier', al wordt daar verder geen informatie bij gegeven.
Het VP8-beveiligingslek is in libvpx-versie 1.13.1 gedicht. Deze versie van de videocodec is in de 117.0.5938.132-update van Google Chrome toegevoegd. Ook Mozilla heeft reeds een patch uitgebracht voor zijn Firefox- en Thunderbird-browsers. Beide bedrijven raden gebruikers aan om de updates zo snel mogelijk binnen te halen. Het is onduidelijk of er nog andere browsers of platformen kwetsbaar zijn.
Afbeelding gegenereerd door DALL-E 3
Bron: Google
