当前位置:首页 > 电脑快讯 > 正文

立即更新!Chrome,其他被0天漏洞攻击的软件–它正受到攻击

立即更新!Chrome,其他被0天漏洞攻击的软件–它正受到攻击

一些世界上最流行的软件出现了新的零日漏洞,根据谷歌的说法,它在野外受到了积极的攻击。谷歌的安全研究表明,该漏洞来自一种广泛使用的WebM文件格式的媒体编码系统。它可能会让从Chrome和Firefox到Skype和VLC的大量程序或多或少地在每一个主要操作系统上受到攻击。立即更新Chrome以获取补丁。

谷歌将这一漏洞记录为一个引人注目的安全问题,标签为“CVE-2023-5217”。“libvpx中的VP8编码中的堆缓冲区溢出”是这样描述的,如果您还没有精通软件行话,这意味着在特定情况下,程序可能会向内存缓冲区中记录比其设计的更多的数据。这可能会导致它覆盖其他数据,而这些数据通常是该程序无法解决的,从而导致无法预见的安全问题。

如果你需要一个星际迷航风格的比喻,想象一下把太多的蛋糕面糊倒入模具中,溢出的面糊在烤箱里着火。蛋糕糊是你的数据,烤箱是任何软件,火是…恶意黑客可以利用的坏东西。嘿,我又没说它很完美。

Ars Technica指出,Mozilla已经证实Firefox容易受到同样问题的攻击,VP8 WebM格式在世界各地的软件中使用如此之多,这可能会成为一个令人头疼的问题。我们谈论的是从Skype等老牌商业工具到VLC等用户喜爱的应用程序,再到AMD、Nvidia和Logitech等与硬件相邻的程序。目前还不清楚这些程序中到底有哪些是易受攻击的,但有可能出现影响广泛且存在问题的情况。

坏消息是,这个漏洞已经在野外被利用了,尽管谷歌没有具体说明在哪里或如何利用。好消息是,这似乎是一个简单的补丁,因为Chrome(117版)和Firefox(118版)都已经这样做了。更好的消息是,只有在对媒体进行编码而不是解码时,才会出现特定的漏洞,因此受影响的程序列表可能不会扩展到使用libvpx库的每个程序。

有话要说...