گوگل اعلام کرد که یک آسیبپذیری بحرانی zero-day در مرورگر کروم احتمالا می تواند کاربران را درگیر سوء استفاده های جدی کند.
به گزارش تکناک، مانند آسیبپذیری بحرانی zero-day که گوگل در تاریخ ۱۱ سپتامبر اعلام کرد، آسیبپذیری جدیدی که مورد سوءاستفاده قرار گرفته است تنها بر روی کروم تأثیر نمیگذارد.
قبلاً موزیلا اعلام کرده است که مرورگر فایرفاکس نسبت به همان باگ آسیبپذیر است و کد CVE-2023-5217 به آن اختصاص داده شده است و مانند CVE-2023-4863 که ۱۷ روز پیش اعلام شد، آسیبپذیری جدید در کتابخانهای که در پردازش فایلهای رسانهای، به خصوص فایلهای با فرمت VP8 استفاده میشود، قرار دارد.
صفحاتی در اینجا و اینجا صدها بسته برای توزیعهای Ubuntu و Debian را فقط بر اساس کتابخانه معروف libvpx لیست میکنند. اکثر مرورگرها از این کتابخانه استفاده میکنند و لیست نرمافزارها یا فروشندگانی که از آن پشتیبانی میکنند، شبیه یک لیست شخصیتهای مشهور اینترنت است و شامل اسکایپ، ادوبی، VLC و اندروید میشود.
مشخص نیست چند بسته نرمافزاری که وابسته به libvpx هستند، در معرض آسیبپذیری CVE-2023-5217 قرار خواهند گرفت. گوگل اعلام میکند که zero-day برای رمزگذاری ویدئو اعمال میشود. در مقابل، zero-day مورد سوءاستفاده در libwebp، کتابخانهای که در ماه قبل نسبت به حملات آسیبپذیر بود، برای رمزگذاری و رمزگشایی کار میکرد. به عبارت دیگر، بر اساس جملهبندی در اعلامیه، CVE-2023-5217 نیاز به یک دستگاه هدف برای ایجاد رسانه با فرمت VP8 دارد. CVE-2023-4863 ممکن است در هنگامی که یک دستگاه هدف به سادگی تصویری که دارای تلهگذاری است را نمایش میدهد، سوءاستفاده شود.
طبق گفته ویل دورمن، تحلیلگر اصلی ارشد در Analygence ، “وابستگی یک بسته به libvpx به هیچ وجه به معنای آسیبپذیر بودن آن نیست”. وی ادامه داد: “آسیبپذیری در رمزگذاری VP8 وجود دارد، بنابراین اگر چیزی فقط برای رمزگشایی از libvpx استفاده کند، نگرانی ندارد.” با این تفاوت مهم، احتمالاً بسیاری از بستهها علاوه بر کروم و فایرفاکس نیاز به پچ کردن خواهند داشت. وی اظهار داشت: “مرورگرهای فایرفاکس، کروم به همراه سایر ابزارهایی که قابلیت رمزگذاری VP8 را از libvpx به جاوااسکریپت (به عبارت دیگر مرورگرهای وب) ارائه میدهند، به نظر میرسد در معرض خطر قرار دارند.”
در حال حاضر اطلاعات محدودی درباره حملات در حال انجام که از zero-day جدید سوءاستفاده میکنند، در دسترس است. پست گوگل فقط اعلام کرد که کدی که از این آسیب استفاده میکند “در محیط واقعی وجود دارد.” یک پست در رسانههای اجتماعی از مدی استون، یک پژوهشگر امنیتی در گروه تحلیل تهدید گوگل، گفت که zero-day “توسط یک فروشنده نظارت تجاری” استفاده میشود. گوگل، کلمنت لوسینی، عضو گروه تحلیل تهدید گوگل را به عنوان کشف کننده آسیبپذیری در روز دوشنبه، دو روز قبل از انتشار پچ در روز چهارشنبه، معرفی کرد.
Zero-day در نسخه 117.0.5938.132 Chrome، نسخه 118.0.1 Firefox، نسخه 115.3.1 Firefox ESR، نسخه 118.1 Firefox Focus برای اندروید و نسخه 118.1 Firefox برای اندروید پچ شده است.
تشابههای دیگری بین دو zero-day وجود دارد. هر دوی آنها ناشی از سرریز buffer هستند که اجازه اجرای کد از راه دور با کمترین یا بدون هیچ تعاملی از سوی کاربر نهایی را فقط با بازدید از یک صفحه وب مخرب میدهند. هر دوی آنها بر کتابخانههای رسانهای تأثیر میگذارند که گوگل آنها را بیش از یک دهه قبل منتشر کرده است. و هر دو کتابخانه به زبان C نوشته شدهاند، یک زبان برنامهنویسی ۵۰ ساله که غیرایمن شناخته میشود زیرا مستعد آسیب پذیری های تخریب حافظه است.
این بار یک نکته متفاوت است: جمله بندی که در CVE اختصاص داده شده توسط گوگل در روز چهارشنبه استفاده شده است، واضح است که آسیبپذیری نه تنها بر روی کروم بلکه بر روی libvpx هم تأثیر دارد. هنگامی که گوگل CVE-2023-4863 را اختصاص داد، تنها اشاره کرد که آسیبپذیری بر روی کروم تأثیر دارد که این باعث ایجاد ابهام شد و منجر به کاهش سرعت پچ دادن توسط بستههای نرمافزاری دیگری که تحت تأثیر قرار گرفتند، شد.
احتمالاً چند روز دیگر طول میکشد تا دامنه کامل CVE-2023-5217 مشخص شود. توسعه دهندگان پروژه برای libvpx به ایمیل پاسخی ندادند که در آن پرسیده شد آیا نسخه پچ شده از کتابخانه در دسترس است و چه چیزهای خاصی برای بهرهبرداری از نرمافزارهایی که از این کتابخانه استفاده میکنند، لازم است. در حال حاضر، افرادی که از برنامهها، چارچوبهای نرمافزاری یا وبسایتهایی استفاده میکنند که شامل VP8 هستند، به ویژه برای رمزگذاری ویدئو، باید احتیاط کنند.