Una vulnerabilidad de día cero (Zero day) en la biblioteca de códec de vídeo libvpx ha afectado a navegadores como Chrome y Firefox, así como a sistemas operativos como Android, desarrollado por Google, especialmente en los que usan el formato VP8.
Google ha anunciado recientemente una actualización de Chrome (117.0.5938) para Windows, Mac y Linux, que incluye diez correcciones de seguridad, entre entre las que se encuentra un parche para la identificada como CVE-2023-5217.
Etiquetada como de riesgo alto, esta brecha habría provocado el "desbordamiento del búfer de codificación VP8 en libvpx", según una actualización del canal estable para Escritorio publicada en su blog.
Esto indica que esta vulnerabilidad de día cero podría haber llegado a los usuarios que utilizan dicho 'software' para codificar sus vídeos en este formato de compresión, según ha aclarado el analista senior de Analygence Will Dorman a Ars Technica.
Desde este mismo medio también señalan que la mayoría de los navegadores utilizan la biblioteca de códex de vídeo libvpx y que otros de los proveedores y plataformas que lo incluyen con Skype, Adobe, VLC o Android. Aunque por ello no están necesariamente en riesgo, ya que la vulnerabilidad se encuentra en el formato VP8.
Este 'exploit' se habría extendido a diferentes servidores, que han implementado parches de seguridad para frenar su actividad. Es el caso de Chrome (117.0.5938.132), Firefox (118.0.1), Firefox ESR (115.3.1) y Firefox para Android (118.1).
Google, por su parte, ha aclarado que ha descubierto que «un proveedor de vigilancia comercial» ha explotado esta vulnerabilidad, como señala la investigadora de Seguridad y miembro del Grupo de Análisis y Amenazas de la compañía, Maddie Stone. Esta, a su vez, ha puntualizado que se lanzó el parche de seguridad dos días después de haberse detectado la brecha.
Sin comentarios
Para comentar es necesario estar registrado en Ultima Hora
De momento no hay comentarios.