Libvpx-zerodaylek ook verholpen in Microsoft Edge en Thunderbird
De kwetsbaarheid in libvpx, die als zeroday is gebruikt om gebruikers van Google Chrome met spyware te infecteren, is nu ook verholpen in Microsoft Edge en Thunderbird. Libvpx is een door Google en de Alliance for Open Media ontwikkelde videocodec-library. Bij het verwerken van een malafide VP8-mediastream kan er een heap buffer overflow ontstaan waardoor een aanvaller code binnen de browser of e-mailclient kan uitvoeren. Om te worden aangevallen zou een slachtoffer een malafide of gecompromitteerde website moeten bezoeken.
Google kwam op 27 september met een update voor Chrome en liet weten dat de kwetsbaarheid door een niet nader genoemde commerciële spywareleverancier was ingezet. Libvpx wordt ook door allerlei andere software gebruikt. Op 28 september volgde Mozilla met updates voor verschillende Firefox-versies. Nu is de kwetsbaarheid (CVE-2023-5217) ook verholpen in Edge en Thunderbird (115.3.1). Updaten zal op de meeste systemen automatisch gebeuren.
In mijn 102.15.1 op Windows 10 zitten in de Config Editor settings die over VP8 en VP9 gaan. Hoewel ik niet weet of die voor links die openen in Thunderbird gelden of ook voor HTML e-mails. Voor de zekerheid heb ik View Message Body op Plain Text gezet. Zover ik het begrijp kan je een e-mail krijgen met VPx content erin en is Thunderbird 102 en 115 daarvoor kwetsbaar.
Over een paar dagen geef ik Thunderbird 102 wel een schop naar de volgende versie, maar ik wil nog even wachten of Mozilla zelf met een update naar 115.3.1 komt. Misschien is er een stopper en die vermijd ik graag. De eerste versies van 102 zorgden soms voor corruptie in de mailfolders. Die kon je dan steeds opnieuw comprimeren zonder dat er wijzigingen in hoorden te zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
