Zloupotreba ovog propusta, koji je već pogodio Google Chrome, može dovesti do pokretanja ubačenog zlonamjernog računarskog koda i kod drugih pregledača
Nakon što je Google 27. septembra objavio hitno ažuriranje za Chrome kako bi uklonio "bezbjednosni propust nultog dana", sada mu se pridružila i Mozilla sa ažuriranjima za Firefox (118.0.1) i Firefox za Android (118.1.0).
Prvobitno se mislilo da ovaj propust utiče samo na Google Chrome i njegove derivate, ali se ispostavilo da nije baš tako. Riječ je o bezbjednosnom propustu koji pogađa biblioteku otvorenog koda libvpx, koja se koristi za kodiranje videozapisa.
Zloupotreba ovog propusta može dovesti do pokretanja ubačenog zlonamjernog računarskog koda. A da bi do toga došlo, napadač bi unaprijed pripremljeni video morao da ugradi u neku u web-stranicu, a onda da namami potencijalne žrtve na nju (npr. linkom u imejlu ili putem aplikacije za slanje poruka).
I pored toga što ovakvi napadi do sada nisu bili izvođeni na Firefox, već samo Chrome, pokazalo se da je i "crvena lisica" ranjiva. Zato bi svi korisnici Firefoxa trebalo odmah da instaliraju dostupno ažuriranje.
A da biste to uradili, u meniju otvorite Help, zatim About Firefox, pa zatim slijedite dalja uputstva. Mozilla ovaj propust klasifikuje kao kritičan, piše PC World.
Inače, programsku biblioteku libvpx, koja se pokazala kao glavni izrok ovog problema, izvorno je razvila kompanija On2 Technologies, specijalizovana za video kodeke, koju je Google kupio 2010. godine.
Google je nakon toga objavio softver kao otvoreni računarsk kod, sa podrškom za VP8 i VP9 video formate. Mnogi projekti otvorenog koda koriste takve standardne biblioteke, od kojih se neke, takođe, smatraju referentnim implementacijama.
Datoteka CVE-2023-4863 se nalazi u biblioteci programa libwebp otvorenog koda, a takođe se koristi i u Mozilla Firefoxu.