/ - UNSPLASH, ILUSTRACIJA
04/10/2023 u 13:08 h
DAN portalDAN portal
Preuzmite našu aplikaciju
Pratite nas na
Pridružite nam se na viber community
Pratite nas
i na telegram kanalu
Pratite nas
i na WhatsUp kanalu
StoryEditor

Otkriven ozbiljan propust u Firefoxu: Instalirajte nadogradnju

Propust s oznakom CVE-2023-5217 u biblioteci programa libvpx već se koristi za napad na korisnike Chromea

Drugi put ovog mjeseca Mozilla mora zakrpiti bezbjednosni propust nultog dana, za koju se u početku činilo kako utiče samo na web preglednik Chrome i njegove derivate, piše Avaz.

Propust s oznakom CVE-2023-5217 u biblioteci programa libvpx već se koristi za napad na korisnike Chromea. Google je 27. septembra objavio hitno ažuriranje za Chrome kako bi uklonio problem. Sljedeći dan Mozilla im se pridružila s ažuriranjima za Firefox 118.0.1 i Firefox ESR 115.3.1, kao i za Firefox za Android 118.1.0.

Kodiranje videozapisa

Biblioteka otvorenog koda libvpx koristi se za kodiranje videozapisa. CVE-2023-5217 je prekoračenje međuspremnika u libvpx pri kodiranju videozapisa u formatu VP8. Ako napadač zloupotrijebi ovaj propust, može pokrenuti izvršenje ubačenog zlonamjernog računarskog koda.

Da bi to učinio, mogao je ugraditi pripremljeni video na bilo koju web-stranicu i namamiti potencijalne žrtve na stranicu, primjer s poveznicom u e-poruci ili putem aplikacije za slanje poruka. Iako trenutno nisu poznati takvi napadi na Firefox, već samo Chrome, svi korisnici Firefoxa trebali bi odmah instalirati dostupno ažuriranje.

Da biste to učinili, u izborniku otvorite Help, pa About Firefox i slijedite uputstva. Mozilla klasifikuje ovaj propust kao kritičan.

Na meti projekti otvorenog računarskog koda

Projekt Tor je 29. septembra ažurirao svoj preglednik kako bi zakrpio bezbjednosni propust nultog dana. Istog je dana Mozillina podružnica MZLA Technologies osigurala ažuriranje za Thunderbird, piše Tportal.hr. Mnogi projekti otvorenog koda koriste takve standardne biblioteke, od kojih se neke takođe smatraju referentnim implementacijama.

Google je već objavio hitno ažuriranje za Chrome sredinom septembra kako bi zatvorio još jedan kritični propust nultog dana u tom pregledniku. CVE-2023-4863 u biblioteci programa libwebp otvorenog koda može se iskoristiti s izrađenim slikovnim datotekama u formatu WebP.

Ovu se programsku biblioteku takođe koristi u Firefoxu, koji je takođe objavio vlastitu hitnu popravku. U međuvremenu se pokazalo da bi to moglo uticati  i na veliki broj drugih programa čiji programeri koriste biblioteku WebP. Na primjer, Gimp, LibreOffice, Telegram, 1Password i mnogi drugi su potencijalno ranjivi, piše PC World.

Pratite nas na
Pridružite nam se na viber community
Pratite nas
i na telegram kanalu
Pratite nas
i na WhatsUp kanalu
23. decembar 2024 08:27