Libvpx-zerodaylek ook verholpen in Microsoft Edge en Thunderbird
De kwetsbaarheid in libvpx, die als zeroday is gebruikt om gebruikers van Google Chrome met spyware te infecteren, is nu ook verholpen in Microsoft Edge en Thunderbird. Libvpx is een door Google en de Alliance for Open Media ontwikkelde videocodec-library. Bij het verwerken van een malafide VP8-mediastream kan er een heap buffer overflow ontstaan waardoor een aanvaller code binnen de browser of e-mailclient kan uitvoeren. Om te worden aangevallen zou een slachtoffer een malafide of gecompromitteerde website moeten bezoeken.
Google kwam op 27 september met een update voor Chrome en liet weten dat de kwetsbaarheid door een niet nader genoemde commerciële spywareleverancier was ingezet. Libvpx wordt ook door allerlei andere software gebruikt. Op 28 september volgde Mozilla met updates voor verschillende Firefox-versies. Nu is de kwetsbaarheid (CVE-2023-5217) ook verholpen in Edge en Thunderbird (115.3.1). Updaten zal op de meeste systemen automatisch gebeuren.
In mijn 102.15.1 op Windows 10 zitten in de Config Editor settings die over VP8 en VP9 gaan. Hoewel ik niet weet of die voor links die openen in Thunderbird gelden of ook voor HTML e-mails. Voor de zekerheid heb ik View Message Body op Plain Text gezet. Zover ik het begrijp kan je een e-mail krijgen met VPx content erin en is Thunderbird 102 en 115 daarvoor kwetsbaar.
Over een paar dagen geef ik Thunderbird 102 wel een schop naar de volgende versie, maar ik wil nog even wachten of Mozilla zelf met een update naar 115.3.1 komt. Misschien is er een stopper en die vermijd ik graag. De eerste versies van 102 zorgden soms voor corruptie in de mailfolders. Die kon je dan steeds opnieuw comprimeren zonder dat er wijzigingen in hoorden te zijn.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!