V prohlížeči Google Chrome je bezpečnostní chyba. I v Edgi a Firefoxu

Závažná bezpečnostní chyba v prohlížeči Google Chrome a dalších založených na jádru Chromium je novým přírůstkem v katalogu známých zneužívaných zranitelností Agentury pro kybernetickou bezpečnost a infrastrukturu.

Podle americké Agentury pro kybernetickou bezpečnost a infrastrukturu (CISA) představuje vážnou bezpečnostní hrozbu zranitelnost v open source video kodeku, který používá řada hlavních prohlížečů.

Chyba se týká webových prohlížečů, které používají mediální knihovnu libvpx, společný projekt společností Google a Alliance for Open Media. Na stupnici CVSS v3 získala běžné hodnocení zranitelnosti 8,8, což znamená, že ji odborníci charakterizují jako hrozbu „vysoké“ závažnosti. V oznámení CISA se uvádí, že existují důkazy o aktivním zneužívání této chyby, takže jde o hrozbu nultého dne.

Podle CISA zranitelnost umožňuje typ útoku typu buffer overflow. To znamená, že v určité fázi není správně nastavena velikost vyrovnávací paměti používané pro zpracování vstupů, což umožňuje útočníkovi vytvořit škodlivý vstup mnohem větší, než je vyrovnávací paměť, který nebude správně zpracován a může vést k řadě neblahých následků. Přetečení vyrovnávací paměti je vzhledem k široké použitelnosti této techniky častým cílem záškodnických hackerů.

V tomto případě a v souladu s vysokým skóre závažnosti exploitu může chyba umožnit vzdálené spuštění kódu, což útočníkům umožní doručit do zranitelných systémů nebezpečný kód.

Záplaty vydaly společnosti stojící za většinou hlavních prohlížečů, které používají Chromium, včetně prohlížečů Google Chrome a Microsoft Edge. Kodek libvpx je přítomen také ve Firefoxu, který byl rovněž opraven. Jeho závažnost znamená, že organizace musí záplatovat obratem a důkladně, aby se vyhnuly potenciálně vážným následkům.