Libvpx-zerodaylek ook verholpen in Microsoft Edge en Thunderbird

[Captain Kirk]

De kwetsbaarheid in libvpx, die als zeroday is gebruikt om gebruikers van Google Chrome met spyware te infecteren, is nu ook verholpen in Microsoft Edge en Thunderbird. Libvpx is een door Google en de Alliance for Open Media ontwikkelde videocodec-library. Bij het verwerken van een malafide VP8-mediastream kan er een heap buffer overflow ontstaan waardoor een aanvaller code binnen de browser of e-mailclient kan uitvoeren. Om te worden aangevallen zou een slachtoffer een malafide of gecompromitteerde website moeten bezoeken.

Google kwam op 27 september met een update voor Chrome en liet weten dat de kwetsbaarheid door een niet nader genoemde commerciële spywareleverancier was ingezet. Libvpx wordt ook door allerlei andere software gebruikt. Op 28 september volgde Mozilla met updates voor verschillende Firefox-versies. Nu is de kwetsbaarheid (CVE-2023-5217) ook verholpen in Edge en Thunderbird (115.3.1). Updaten zal op de meeste systemen automatisch gebeuren.

 

bron: https://www.security.nl