Nieuws
image

Mozilla komt met noodpatch voor libvpx-zeroday in Firefox

vrijdag 29 september 2023, 10:14 door Redactie, 7 reacties
Laatst bijgewerkt: 29-09-2023, 13:12

Mozilla heeft een noodpatch uitgebracht voor een actief aangevallen zerodaylek in libvpx, waar ook Firefox gebruik van maakt. De kwetsbaarheid is actief gebruikt voor het infecteren van Google Chrome-gebruikers met spyware, zo maakte Google gisteren bekend. Het techbedrijf kwam woensdag met een update voor Chrome.

Libvpx, een door Google en de Alliance for Open Media ontwikkelde videocodec-library. Bij het verwerken van een malafide VP8-mediastream kan er een heap buffer overflow ontstaan waardoor een aanvaller code binnen de browser kan uitvoeren. Om te worden aangevallen zou een slachtoffer een malafide of gecompromitteerde website moeten bezoeken. Naast Chrome maakt ook Firefox gebruik van libvpx.

In het geval van Google Chrome was de kwetsbaarheid als 'high' aangemerkt, waardoor alleen het uitvoeren van code binnen de browser mogelijk is. In het geval van Mozilla gaat het om een kritieke kwetsbaarheid waardoor een aanvaller code op het onderliggende systeem kan uitvoeren. Om de kwetsbaarheid te verhelpen zijn nu Mozilla Firefox 118.0.1, Firefox ESR 115.3.1, Firefox Focus for Android 118.1 en Firefox for Android 118.1 verschenen.

Reacties (7)
29-09-2023, 11:57 door Anoniem
https://www.mozilla.org/en-US/security/advisories/mfsa2023-44/:
Fixed in

Firefox 118.0.1
Firefox ESR 115.3.1
Firefox Focus for Android 118.1
Firefox for Android 118.1

Thunderbird staat er niet bij?? Kan mij ook niet herinneren dat je in Thunderbird zelf filmpjes kan kijken. Tenminste in de oude ESR versie (102.15.1 - 32 bit - Windows 10).
29-09-2023, 13:00 door Anoniem
Er is geen noodupdate voor Thunderbird, deze staat op versie 115.3.0.
29-09-2023, 13:37 door Anoniem
Er is nu een candidate voor Thunderbird 115.3.1, dus Thunderbird krijgt ook binnenkort een update.
29-09-2023, 13:56 door Anoniem
https://www.bleepingcomputer.com/news/security/google-fixes-fifth-actively-exploited-chrome-zero-day-of-2023/
(..) The high-severity zero-day vulnerability (CVE-2023-5217) is caused by a heap buffer overflow weakness in the VP8 encoding of the open-source libvpx video codec library, a flaw whose impact ranges from app crashes to arbitrary code execution. (..)
While first marking it as a Chrome flaw, the company later assigned another CVE (CVE-2023-5129) and a maximum 10/10 severity rating, tagging it as a critical security vulnerability in libwebp (a library used by a large number of projects, including Signal, 1Password, Mozilla Firefox, Microsoft Edge, Apple's Safari, and the native Android web browser).
CVE-2023-5217 = libvpx (o.a. VP8 codec)
CVE-2023-5129 = libwebp (o.a. Firefox, Safari, Edge, Android en .... Signal .... oops)
Welke versie van Signal is kwetsbaar voor deze CVE? Is er al een patch? Ik ga zoeken, wordt vervolgd ....
29-09-2023, 18:12 door Anoniem
Door Anoniem: Er is nu een candidate voor Thunderbird 115.3.1, dus Thunderbird krijgt ook binnenkort een update.
Bedankt voor de info!
29-09-2023, 20:22 door Anoniem
Beste redactie en forumleden,

De patch voor Thunderbird heb ik net gedownload om 20.22 uur op 29 september.
30-09-2023, 08:05 door Anoniem
Heb vandaag ook de fix voor Tor-browser binnen.
Dat wordt dus updaten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure