Una vulnerabilidad de día cero en la biblioteca de códec de vídeo libvpx ha impactado en navegadores como Chrome y Firefox, así como en sistemas operativos como Android, desarrollado por Google, especialmente en aquellos que emplean el formato VP8.
Google ha emitido recientemente una actualización de Chrome (versión 117.0.5938) para Windows, Mac y Linux, que aborda diez problemas de seguridad, incluyendo un parche para la vulnerabilidad identificada como CVE-2023-5217.
Clasificada como de alto riesgo, esta vulnerabilidad habría resultado en un “desbordamiento del búfer de codificación VP8 en libvpx”, según una comunicación en su blog que detalla la actualización del canal estable para Escritorio.
Esto sugiere que la vulnerabilidad de día cero podría haber afectado a usuarios que utilizan dicho software para codificar sus vídeos en el formato de compresión VP8, como explicó el analista senior de Analygence, Will Dorman, a Ars Technica.
Ars Technica también señala que la mayoría de los navegadores hacen uso de la biblioteca de códec de vídeo libvpx, y otros proveedores y plataformas, como Skype, Adobe, VLC o Android, la incorporan en sus sistemas. Sin embargo, no todos están necesariamente en riesgo, ya que la vulnerabilidad se localiza en el formato VP8.
Se informa que este exploit se ha propagado a varios servidores, los cuales han implementado parches de seguridad para mitigar su actividad. Esto incluye a Chrome (versión 117.0.5938.132), Firefox (versión 118.0.1), Firefox ESR (versión 115.3.1) y Firefox para Android (versión 118.1).
Google ha declarado que descubrió que “un proveedor de vigilancia comercial” había aprovechado esta vulnerabilidad, según lo indicado por la investigadora de seguridad y miembro del Grupo de Análisis y Amenazas de la compañía, Maddie Stone. Además, se enfatiza que el parche de seguridad fue lanzado dos días después de la detección de la brecha.
