Вчера вечером Google выпустила новое обновление для браузера Chrome. В версии 117.0.5938.132 для настольных компьютеров, Mac и Linux, а также в версии 117.0.5938.140 для Android закрыты 10 дыр в безопасности, сообщают Deskmodder и gHacks. Наибольшее внимание привлекает очередная уязвимость нулевого дня, которая связана с переполнением буфера кучи VP8 в библиотеке видеокодеков libvpx. В базе данных общеизвестных уязвимостей проблеме присвоен идентификатор CVE-2023-5217, впервые о ней 25 сентября сообщил Клеман Лесинь (Clément Lecigne), специалист из группы анализа угроз Google. Уязвимость используется злоумышленниками, подробностей немного, но есть предположения, что через неё ведётся распространение шпионского ПО.
В числе других исправленных проблем безопасности CVE-2023-5186 и CVE-2023-5187, которые были обнаружены в системе управления паролями и расширений. Все эти проблемы актуальны не только для Google Chrome, но и других браузеров на основе кодовой базы проекта Chromium, наверняка, и для любого другого программного обеспечения, использующего библиотеку libvpx.
Недавно в Chrome закрыли уязвимость, найденную в библиотеке libwebp и связанную с переполнением буфера WebP. Аналогично, поскольку библиотека используется не только в Chrome, но и многих других программах, по Сети пошла крупная волна обновлений, обновился веб-браузер Firefox и другие, почтовик Thunderbird, LibreOffice и т.д.
- Источники
- Deskmodder
- gHacks
