Al igual que un día cero crítico que Google reveló el 11 de septiembre, la nueva vulnerabilidad explotada no afecta solo a Chrome. Mozilla ya ha dicho que su navegador Firefox es vulnerable al mismo error, que se identifica como CVE-2023-5217.
Y al igual que CVE-2023-4863 de hace 17 días, este nuevo error en una biblioteca de códigos ampliamente utilizada para procesar archivos multimedia, específicamente aquellos en formato VP8.
Las páginas aquí y aquí enumeran cientos de paquetes solo para Ubuntu y Debian que dependen de la biblioteca conocida como libvpx. La mayoría de los navegadores lo utilizan, y la lista de software o proveedores que lo admiten parece un quién es quién en Internet, incluidos Skype, Adobe, VLC y Android. Mozilla también lanzó el jueves el parche correspondiente.
No está claro cuántos paquetes de software que dependen de libvpx serán vulnerables a CVE-2023-5217. La divulgación de Google dice que este día cero se aplica a la codificación de vídeo. Por el contrario, el exploit en libwebp, la biblioteca de códigos vulnerable a los ataques de principios de mes, funcionaba para codificar y decodificar.
En otras palabras, CVE-2023-5217 requiere un dispositivo específico para crear medios en formato VP8. Em cambio CVE-2023-4863 podría explotarse cuando un dispositivo simplemente muestra una imagen con un código determinado.
"El hecho de que un paquete dependa de libvpx NO significa necesariamente que sea vulnerable", escribió Will Dorman, analista principal senior de Analygence, en una entrevista en línea. "La vulnerabilidad está en codificación VP8, por lo que si algo usa libvpx solo para decodificar, no tienen nada de qué preocuparse". Incluso con esa importante distinción, es probable que haya muchos más paquetes además de Chrome y Firefox que requerirán parches. "Los navegadores Firefox, Chrome (y los basados en Chromium), además de otras cosas que exponen las capacidades de codificación VP8 desde libvpx a JavaScript (es decir, navegadores web), parecen estar en riesgo", dijo.
Actualmente hay pocos detalles disponibles sobre los ataques disponibles que aprovecharon este último día cero. La publicación de Google sólo decía que el código que explota la falla "existe en la naturaleza". Una publicación en las redes sociales de Maddie Stone, investigadora de seguridad del Grupo de Análisis de Amenazas de Google, dijo que "el Zero-Day estaba sindo utilizado por un proveedor de vigilancia comercial". Google le dio crédito a Clement Lecigne del TAG de Google por descubrir la vulnerabilidad el lunes, sólo dos días antes del parche que lanzó el miércoles.
El día cero está parcheado en Chrome 117.0.5938.132, Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus para Android 118.1 y Firefox para Android 118.1.
Hay otras similitudes entre los dos días cero. Ambos surgen de desbordamientos de búfer que permiten la ejecución remota de código con poca o ninguna interacción por parte del usuario final, excepto visitar una página web maliciosa. Ambos afectan a las bibliotecas multimedia que Google publicó hace más de una década. Y ambas bibliotecas están escritas en C, un lenguaje de programación de 50 años de antigüedad ampliamente considerado inseguro porque es propenso a sufrir vulnerabilidades de corrupción de memoria.
Una cosa es diferente esta vez: la redacción en el CVE asignado por Google el miércoles es clara: la vulnerabilidad afecta no solo a Chrome sino también a libvpx. Cuando Google asignó CVE-2023-4863, solo mencionó que la vulnerabilidad afectaba a Chrome, lo que generó confusión que, según los críticos, ralentizó la aplicación de parches por parte de otros paquetes de software afectados.
Probablemente pasarán algunos días más hasta que quede claro el alcance completo de CVE-2023-5217. Los desarrolladores del proyecto libvpx no respondieron de inmediato a un correo electrónico preguntando si hay disponible una versión parcheada de la biblioteca o qué se requiere específicamente para explotar el software que utiliza la biblioteca. Por ahora, las personas que utilizan aplicaciones, frameworks de software o sitios web que involucran VP8, especialmente para codificación de video, deben tener cuidado.
Este último descubrimiento eleva a cinco el número de vulnerabilidades de día cero en Google Chrome para las que se han lanzado parches este año:
- CVE-2023-2033 (CVSS score: 8.8) - Type confusion in V8
- CVE-2023-2136 (CVSS score: 9.6) - Integer overflow in Skia
- CVE-2023-3079 (CVSS score: 8.8) - Type confusion in V8
- CVE-2023-4863 (CVSS score: 8.8) - Heap buffer overflow in WebP
- CVE-2023-5217 - heap-based buffer overflowin the VP8 compression format in libvpx.
Fuente: Arstechnica