Úvodní stránka

Logo NÚKIB

Upozorňujeme na kritické zranitelnosti v knihovnách webových prohlížečů

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) upozorňuje na kritické zranitelnosti, které byly objeveny v aplikacích internetových prohlížečů (Chrome, Firefox, Edge a dalších). Pouhým zobrazením upraveného obrázku nebo videa i bez další uživatelské interakce (tzv. zero-click) může dojít ke vzdálenému spuštění cizího kódu (RCE) a ovládnutí aplikace nebo celého systému útočníkem. Zranitelnosti objevené v knihovnách libwebp (sloužící pro zpracování obrazového formátu WebP) a libvpx (sloužící pro zpracování videoformátu VP8) jsou již aktivně zneužívané a pro zranitelnost v knihovně libwebp byl i zveřejněn proof-of-concept (POC) jejího zneužití.

  • Zranitelnost v knihovně libwebp má označení CVE-2023-4863 (CVSS 8.8) a byla zveřejněna 12. září 2023.
  • Zranitelnost v knihovně libvpx má označení CVE-2023-5217 (CVSS zatím neurčeno) a byla zveřejněna 28. září 2023.

Tyto knihovny jsou součástí různých aplikací a systémů (např. webové prohlížeče nebo operační systémy) a z pozice správce nebo uživatele není snadné ověřit, zda je aplikace zranitelná či nikoliv. Nekompletní seznam zranitelných aplikací je uveden níže.

Doporučujeme provést co nejdříve aktualizace zranitelných aplikací a neodkládat automatické aktualizace. Lze také očekávat, že aktualizace aplikací budou jejich tvůrci vydávat v průběhu následujících dnů.

Zranitelné aplikace a systémy (pozn. jedná se o nekompletní výčet nejpoužívanějších aplikací a systémů, o kterých je známo, že byly touto zranitelností postiženy. Další položky mohou být postupně doplňovány.):

Více informací: