إن الثغرة الأمنية الحرجة Zero Day التي أبلغت عنها Google يوم الأربعاء في متصفح Chrome الخاص بها تفتح الإنترنت على فصل جديد من Groundhog Day.
مثل يوم Google Zero الحاسم تم الكشف عنها في 11 سبتمبرفإن الثغرة الأمنية الجديدة المستغلة لا تؤثر على متصفح Chrome فقط. بالفعل، موزيلا قال أن متصفح Firefox الخاص به عرضة لنفس الخطأ، والذي يتم تتبعه باسم CVE-2023-5217. وتمامًا مثل CVE-2023-4863 منذ 17 يومًا، يوجد الإصدار الجديد في مكتبة الأكواد المستخدمة على نطاق واسع لمعالجة ملفات الوسائط، خاصة تلك بتنسيق VP8.
الصفحات هنا و هنا يسرد مئات الحزم الخاصة بـ Ubuntu وDebian فقط والتي تعتمد على المكتبة المعروفة باسم libvpx. تستخدمه معظم المتصفحات، و قائمة البرامج أو البائعين الذين يدعمونهم يُقرأون مثل الأشخاص الموجودين على الإنترنت، بما في ذلك Skype وAdobe وVLC وAndroid.
ليس من الواضح عدد حزم البرامج التي تعتمد على libvpx التي ستكون عرضة للتهديد CVE-2023-5217. ينص إفصاح Google على أن يوم الصفر ينطبق على تشفير الفيديو. في المقابل، عملت ثغرة اليوم الصفري في مكتبة libwebp، وهي مكتبة الأكواد المعرضة للهجمات في وقت سابق من هذا الشهر، على التشفير وفك التشفير. بمعنى آخر، استنادًا إلى صياغة الكشف، يتطلب CVE-2023-5217 جهازًا مستهدفًا لإنشاء وسائط بتنسيق VP8. يمكن استغلال CVE-2023-4863 عندما يقوم الجهاز المستهدف بعرض صورة مفخخة.
كتب ويل دورمان، المحلل الرئيسي في Analygence، في مقابلة عبر الإنترنت: “حقيقة أن الحزمة تعتمد على libvpx لا تعني بالضرورة أنها ستكون عرضة للخطر”. “تم ترميز الثغرة الأمنية في VP8، لذلك إذا كان هناك شيء يستخدم libvpx فقط لفك التشفير، فلا داعي للقلق.” وحتى مع هذا التمييز المهم، فمن المحتمل أن يكون هناك العديد من الحزم الأخرى إلى جانب Chrome وFirefox التي ستتطلب التصحيح. وأعلن أن “متصفحات Firefox وChrome (والمستندة إلى Chromium)، بالإضافة إلى العناصر الأخرى التي تكشف إمكانات تشفير libvpx’s VP8 لجافا سكريبت (أي متصفحات الويب)، تبدو معرضة للخطر”.
تتوفر حاليًا تفاصيل قليلة حول الهجمات البرية التي استغلت أحدث يوم صفر. ذكرت رسالة Google فقط أن الكود الذي يستغل الخلل “موجود في البرية”. شبكة تواصل اجتماعي وظيفة وقالت مادي ستون، الباحثة الأمنية في مجموعة تحليل التهديدات في جوجل، إن يوم الصفر “تم استخدامه من قبل مزود خدمة المراقبة التجارية”. نسبت Google الفضل إلى Clément Lecigne من Google TAG في اكتشاف الثغرة الأمنية يوم الاثنين، قبل يومين فقط من إصدار التصحيح يوم الأربعاء.
تم إصلاح يوم الصفر في Chrome 117.0.5938.132، وFirefox 118.0.1، وFirefox ESR 115.3.1، وFirefox Focus لنظام Android 118.1، وFirefox لنظام Android 118.1.
وهناك أوجه تشابه أخرى بين اليومين الصفريين. كلاهما ينشأ من تجاوزات المخزن المؤقت التي تسمح بتنفيذ التعليمات البرمجية عن بعد مع تفاعل ضئيل أو معدوم من المستخدم النهائي بخلاف زيارة صفحة ويب ضارة. كلاهما يؤثر على مكتبات الوسائط التي أصدرتها Google منذ أكثر من عقد من الزمن. وكلتا المكتبتين مكتوبتان بلغة C، وهي لغة برمجة عمرها 50 عامًا تعتبر خطيرة على نطاق واسع لأنها عرضة لنقاط ضعف تلف الذاكرة.
هناك شيء واحد مختلف هذه المرة: تشير صياغة CVE التي حددتها Google يوم الأربعاء بوضوح إلى أن الثغرة الأمنية لا تؤثر على Chrome فحسب، بل تؤثر أيضًا على libvpx. وعندما خصصت جوجل الرمز CVE-2023-4863، ذكرت فقط أن الثغرة الأمنية أثرت على Chrome، مما أدى إلى ارتباك قال النقاد إنه يبطئ حزم البرامج المتأثرة الأخرى من تطبيق التصحيحات.
من المحتمل أن يستغرق الأمر بضعة أيام أخرى حتى يصبح النطاق الكامل لـ CVE-2023-5217 واضحًا. لم يستجب مطورو مشروع libvpx على الفور لرسالة بريد إلكتروني تسأل عما إذا كانت هناك نسخة مصححة من المكتبة متاحة أو ما هو المطلوب على وجه التحديد لاستغلال البرامج باستخدام المكتبة. في الوقت الحالي، يجب على الأشخاص الذين يستخدمون التطبيقات أو أطر البرامج أو مواقع الويب التي تتضمن VP8، وخاصةً لترميز الفيديو، توخي الحذر.