.
Imagens Getty
Uma vulnerabilidade crítica de dia zero que o Google relatou na quarta-feira em seu navegador Chrome está abrindo a Internet para um novo capítulo do Dia da Marmota.
Como uma crítica de dia zero do Google divulgada em 11 de setembro, a nova vulnerabilidade explorada não afeta apenas o Chrome. A Mozilla já disse que seu navegador Firefox é vulnerável ao mesmo bug, que é rastreado como CVE-2023-5217. E assim como o CVE-2023-4863 de 17 dias atrás, o novo reside em uma biblioteca de códigos amplamente utilizada para processamento de arquivos de mídia, especificamente aqueles no formato VP8.
As páginas aqui e aqui listam centenas de pacotes apenas para Ubuntu e Debian que dependem da biblioteca conhecida como libvpx. A maioria dos navegadores o utiliza, e a lista de software ou fornecedores que o suportam parece um quem é quem na Internet, incluindo Skype, Adobe, VLC e Android.
Não está claro quantos pacotes de software que dependem do libvpx estarão vulneráveis ao CVE-2023-5217. A divulgação do Google diz que o dia zero se aplica à codificação de vídeo. Por outro lado, o dia zero explorado na libwebp, a biblioteca de códigos vulnerável aos ataques do início deste mês, funcionou para codificação e decodificação. Em outras palavras, com base no texto da divulgação, CVE-2023-5217 requer um dispositivo direcionado para criar mídia no formato VP8. CVE-2023-4863 poderia ser explorado quando um dispositivo alvo simplesmente exibisse uma imagem de armadilha.
“O fato de um pacote depender da libvpx NÃO significa necessariamente que ele seja vulnerável”, escreveu Will Dorman, analista principal sênior da Analygence, em entrevista online. “A vulnerabilidade está na codificação VP8, então se algo usa libvpx apenas para decodificação, não há nada com que se preocupar.” Mesmo com essa importante distinção, é provável que existam muitos outros pacotes além do Chrome e do Firefox que exigirão correção. “Os navegadores Firefox, Chrome (e baseados em Chromium), além de outras coisas que expõem os recursos de codificação VP8 de libvpx para JavaScript (ou seja, navegadores da web), parecem estar em risco”, disse ele.
Atualmente, poucos detalhes estão disponíveis sobre os ataques selvagens que exploraram o último dia zero. A postagem do Google dizia apenas que o código que explora a falha “existe à solta”. Uma mídia social publicar de Maddie Stone, pesquisadora de segurança do Grupo de Análise de Ameaças do Google, disse que o dia zero estava “em uso por um fornecedor de vigilância comercial”. O Google deu crédito a Clement Lecigne, do TAG do Google, pela descoberta da vulnerabilidade na segunda-feira, apenas dois dias antes do patch lançado na quarta-feira.
O dia zero foi corrigido no Chrome 117.0.5938.132, Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus para Android 118.1 e Firefox para Android 118.1.
Existem outras semelhanças entre os dois dias zero. Ambos resultam de buffer overflows que permitem a execução remota de código com pouca ou nenhuma interação por parte do usuário final, exceto para visitar uma página da web maliciosa. Ambos afetam bibliotecas de mídia publicadas pelo Google há mais de uma década. E ambas as bibliotecas são escritas em C, uma linguagem de programação de 50 anos amplamente considerada insegura porque é propensa a vulnerabilidades de corrupção de memória.
Uma coisa é diferente desta vez: o texto no CVE Google atribuído na quarta-feira deixa claro que a vulnerabilidade afeta não apenas o Chrome, mas também o libvpx. Quando o Google atribuiu o CVE-2023-4863, ele mencionou apenas que a vulnerabilidade afetava o Chrome, levando a uma confusão que os críticos disseram ter retardado a correção de outros pacotes de software afetados.
Provavelmente levará mais alguns dias para que todo o escopo do CVE-2023-5217 fique claro. Os desenvolvedores do projeto libvpx não responderam imediatamente a um e-mail perguntando se uma versão corrigida da biblioteca está disponível ou o que é especificamente necessário para explorar o software que usa a biblioteca. Por enquanto, as pessoas que usam aplicativos, estruturas de software ou sites que envolvem VP8, especialmente para codificação de vídeo, devem ter cautela.
.
