Luka w kodeku wideo typu open source używanym przez wiele głównych przeglądarek stanowi poważne zagrożenie dla bezpieczeństwa, twierdzi amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA).

Luka dotyczy przeglądarek internetowych korzystających z biblioteki multimediów libvpx, wspólnego projektu Google i Alliance for Open Media. Otrzymała ona ocenę 8,8 w skali CVSS v3, co oznacza, że eksperci określają ją jako zagrożenie o wysokim stopniu ważności. W poniedziałkowym komunikacie CISA stwierdzono, że istnieją dowody na to, że usterka jest aktywnie wykorzystywana, co czyni ją zagrożeniem dnia zerowego.

Według CISA, luka umożliwia atak typu przepełnienia bufora. Oznacza to, że na pewnym etapie rozmiar bufora pamięci używanego do obsługi danych wejściowych nie jest prawidłowo ustawiony, co pozwala złemu aktorowi na stworzenie złośliwego wejścia znacznie większego niż bufor, który nie zostanie poprawnie przetworzony i może prowadzić do szeregu konsekwencji. Przepełnienie bufora lub sterty jest częstym celem złośliwych hakerów, biorąc pod uwagę szerokie zastosowanie tej techniki.

W tym przypadku, zgodnie z wysokim poziomem ważności exploita, usterka może umożliwić zdalne wykonanie kodu, pozwalając atakującym na dostarczenie niebezpiecznych ładunków do podatnych systemów.

„Jeśli jesteś naprawdę sprytny, możesz stworzyć exploit, który dostanie się do pamięci systemowej”, powiedział Christopher Rodriguez, dyrektor ds. badań w IDC. „Gdyby był to exploit niższego poziomu, mógłby być ograniczony do tego, jakich części pamięci może dotknąć... może spowodować awarię aplikacji”.

Łatki zostały wydane przez firmy stojące za większością głównych przeglądarek korzystających z Chromium, w tym Google Chrome i Microsoft Edge. Kodek libvpx jest również obecny w przeglądarce Firefox, która również została załatana. Jego dotkliwość oznacza, że organizacje muszą być na bieżąco z łataniem, aby uniknąć potencjalnie poważnych konsekwencji. (Zawiadomienie CISA daje federalnym agencjom cywilnym czas do 23 października na pełną ochronę przed luką).

„Przeglądarka jest obecnie tak uniwersalna. Tak wiele aplikacji działa w sieci, w tym SaaS i [aplikacje biznesowe] przeznaczone dla pracowników zdalnych. Nawet wrażliwe dane, które trafiają do osobistej przeglądarki, mogą stanowić problem”, skomentował Rodriguez.

Rodriguez wezwał również do przyjęcia środków bezpieczeństwa punktów końcowych, aby pomóc w obronie przed tego typu atakami zero-day.

Źródło: CSO