به گزارش همشهری آنلاین، مانند آسیبپذیری بحرانی zero-day که گوگل در تاریخ ۱۱ سپتامبر اعلام کرد، آسیبپذیری جدیدی که مورد سوءاستفاده قرار گرفته است تنها بر روی کروم تأثیر نمیگذارد.
پیشتر موزیلا اعلام کرده است که مرورگر فایرفاکس نسبت به همان باگ آسیبپذیر است و کد CVE-2023-5217 به آن اختصاص داده شده است و مانند CVE-2023-4863 که ۱۷ روز پیش اعلام شد، آسیبپذیری جدید در کتابخانهای که در پردازش فایلهای رسانهای، به خصوص فایلهای با فرمت VP8 استفاده میشود، قرار دارد.
به نقل از تکناک، مشخص نیست چند بسته نرمافزاری که وابسته به libvpx هستند، در معرض آسیبپذیری CVE-2023-5217 قرار خواهند گرفت. گوگل اعلام میکند که zero-day برای رمزگذاری ویدئو اعمال میشود. در مقابل، zero-day مورد سوءاستفاده در libwebp، کتابخانهای که در ماه قبل نسبت به حملات آسیبپذیر بود، برای رمزگذاری و رمزگشایی کار میکرد.
به عبارت دیگر، بر اساس جملهبندی در اعلامیه، CVE-2023-5217 نیاز به یک دستگاه هدف برای ایجاد رسانه با فرمت VP8 دارد. CVE-2023-4863 ممکن است در هنگامی که یک دستگاه هدف به سادگی تصویری که دارای تلهگذاری است را نمایش میدهد، سوءاستفاده شود.
طبق گفته ویل دورمن، تحلیلگر اصلی ارشد در Analygence ، وابستگی یک بسته به libvpx به هیچ وجه به معنای آسیبپذیر بودن آن نیست.
او گفت: «آسیبپذیری در رمزگذاری VP8 وجود دارد، بنابراین اگر چیزی فقط برای رمزگشایی از libvpx استفاده کند، نگرانی ندارد.»
با این تفاوت مهم، احتمالاً بسیاری از بستهها علاوه بر کروم و فایرفاکس نیاز به پچ کردن خواهند داشت.
او اظهار داشت: «مرورگرهای فایرفاکس، کروم به همراه سایر ابزارهایی که قابلیت رمزگذاری VP8 را از libvpx به جاوااسکریپت (به عبارت دیگر مرورگرهای وب) ارائه میدهند، به نظر میرسد در معرض خطر قرار دارند.»
بیشتر بخوانید:
در حال حاضر اطلاعات محدودی درباره حملات در حال انجام که از zero-day جدید سوءاستفاده میکنند، در دسترس است. پست گوگل فقط اعلام کرد که کدی که از این آسیب استفاده میکند، «در محیط واقعی وجود دارد.»