Ευπάθεια Firefox 0-Interaction επιτρέπει εκτέλεση αυθαίρετου κώδικα
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Ευπάθεια Firefox 0-Interaction επιτρέπει εκτέλεση αυθαίρετου κώδικα
https://www.secnews.gr/649523/efpatheia-firefox-0-interaction-libvpx-epitrepei-ektelesi-afthairetou-kodika/
May 28th 2025, 14:21
by Absenta Mia
Η Mozilla κυκλοφόρησε επείγουσες ενημερώσεις ασφαλείας για να αντιμετωπίσει μια κρίσιμη ευπάθεια στο Firefox, η οποία θα μπορούσε να επιτρέψει σε επιτιθέμενους να εκτελέσουν αυθαίρετο κώδικα στα συστήματα των θυμάτων χωρίς καμία αλληλεπίδραση από τον χρήστη.
Δείτε επίσης: Mozilla Firefox: Διορθώνονται ευπάθειες που ανακαλύφθηκαν στο Pwn2Own Berlin
Η ευπάθεια ασφαλείας, που καταγράφεται ως CVE-2025-5262, ανακοινώθηκε στις 27 Μαΐου 2025 ως μέρος της ανακοίνωσης ασφαλείας του Mozilla Foundation. Οι ερευνητές ασφαλείας προειδοποιούν ότι πρόκειται για μια εξαιρετικά επικίνδυνη ευπάθεια, καθώς μπορεί να αξιοποιηθεί χωρίς να απαιτείται κάποια ενέργεια από τον χρήστη πέρα από την κανονική περιήγηση στο διαδίκτυο. Η κρίσιμη ευπάθεια οφείλεται σε πρόβλημα αλλοίωσης μνήμης τύπου "double-free", το οποίο εντοπίζεται στη βιβλιοθήκη libvpx, που χρησιμοποιείται από το Firefox για την κωδικοποίηση και αποκωδικοποίηση βίντεο VP8 και VP9 στις επικοινωνίες WebRTC.
Συγκεκριμένα, η ευπάθεια εμφανίζεται στη συνάρτηση vpx_codec_enc_init_multi, κατά τη διαχείριση αποτυχημένων δεσμεύσεων μνήμης στη διαδικασία αρχικοποίησης του κωδικοποιητή για το WebRTC.
Σύμφωνα με την ανακοίνωση ασφαλείας της Mozilla: «Μπορούσε να προκύψει ένα double-free στη vpx_codec_enc_init_multi μετά από αποτυχημένη δέσμευση μνήμης κατά την αρχικοποίηση του κωδικοποιητή για WebRTC. Αυτό θα μπορούσε να προκαλέσει αλλοίωση μνήμης και πιθανή κατάρρευση του συστήματος, που θα μπορούσε να αξιοποιηθεί για κακόβουλη εκτέλεση κώδικα.»
Η βασική αιτία εντοπίστηκε στη συνάρτηση vp8e_init(), όπου ο κωδικοποιητής αναλάμβανε την ιδιοκτησία της mr_cfg.mr_low_res_mode_info, ακόμη και στην περίπτωση που η vp8_create_compressor() αποτύγχανε.
Δείτε ακόμα: Ο Firefox 138 κυκλοφόρησε με επιδιόρθωση για πολλά ελαττώματα
Αυτό δημιουργούσε ασάφεια στο σημείο κλήσης, καθώς άλλες αποτυχίες στη vp8e_init() δεν οδηγούσαν σε μεταφορά ιδιοκτησίας, με αποτέλεσμα τόσο η συνάρτηση που την κάλεσε όσο και η vpx_codec_destroy() να επιχειρούν να αποδεσμεύσουν την ίδια περιοχή μνήμης — γεγονός που οδηγούσε στην κατάσταση double-free.
Αυτή η ευπάθεια επηρεάζει πολλές εκδόσεις και παραλλαγές του Firefox, συμπεριλαμβανομένων των εξής:
• Firefox εκδόσεις πριν από την 139.0
• Firefox ESR εκδόσεις πριν από την 128.11
• Firefox ESR εκδόσεις πριν από την 115.24
Οι ειδικοί ασφαλείας την ταξινομούν ως κρίσιμη ευπάθεια, καθώς θα μπορούσε να επιτρέψει σε επιτιθέμενους την εκτέλεση αυθαίρετου κώδικα στα συστήματα των θυμάτων. Το γεγονός ότι η ευπάθεια εντοπίζεται στο WebRTC —ένα ευρέως χρησιμοποιούμενο πρωτόκολλο για επικοινωνίες σε πραγματικό χρόνο, όπως βιντεοκλήσεις και διαδραστικές λειτουργίες μέσω browser — την καθιστά ιδιαίτερα ανησυχητική.
Δείτε επίσης: Chrome 135 και Firefox 137 διορθώνουν ευπάθειες υψηλής σοβαρότητας
Βάσει των παραπάνω, είναι σημαντικό να τονιστεί ότι ευπάθειες όπως αυτή που εντοπίστηκε στο WebRTC επηρεάζουν άμεσα την ασφάλεια εκατομμυρίων χρηστών παγκοσμίως, καθώς πρόκειται για τεχνολογίες που χρησιμοποιούνται καθημερινά χωρίς ιδιαίτερη επίγνωση από τον μέσο χρήστη. Αυτό αναδεικνύει και τη σημασία των τακτικών ενημερώσεων ασφαλείας. Οι χρήστες και οι διαχειριστές συστημάτων πρέπει να διασφαλίζουν ότι χρησιμοποιούν πάντα τις πιο πρόσφατες εκδόσεις λογισμικού, ειδικά όταν πρόκειται για εφαρμογές με πρόσβαση στο διαδίκτυο.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Ευπάθεια Firefox 0-Interaction επιτρέπει εκτέλεση αυθαίρετου κώδικα
https://www.secnews.gr/649523/efpatheia-firefox-0-interaction-libvpx-epitrepei-ektelesi-afthairetou-kodika/
May 28th 2025, 14:21
by Absenta Mia
Η Mozilla κυκλοφόρησε επείγουσες ενημερώσεις ασφαλείας για να αντιμετωπίσει μια κρίσιμη ευπάθεια στο Firefox, η οποία θα μπορούσε να επιτρέψει σε επιτιθέμενους να εκτελέσουν αυθαίρετο κώδικα στα συστήματα των θυμάτων χωρίς καμία αλληλεπίδραση από τον χρήστη.
Δείτε επίσης: Mozilla Firefox: Διορθώνονται ευπάθειες που ανακαλύφθηκαν στο Pwn2Own Berlin
Η ευπάθεια ασφαλείας, που καταγράφεται ως CVE-2025-5262, ανακοινώθηκε στις 27 Μαΐου 2025 ως μέρος της ανακοίνωσης ασφαλείας του Mozilla Foundation. Οι ερευνητές ασφαλείας προειδοποιούν ότι πρόκειται για μια εξαιρετικά επικίνδυνη ευπάθεια, καθώς μπορεί να αξιοποιηθεί χωρίς να απαιτείται κάποια ενέργεια από τον χρήστη πέρα από την κανονική περιήγηση στο διαδίκτυο. Η κρίσιμη ευπάθεια οφείλεται σε πρόβλημα αλλοίωσης μνήμης τύπου "double-free", το οποίο εντοπίζεται στη βιβλιοθήκη libvpx, που χρησιμοποιείται από το Firefox για την κωδικοποίηση και αποκωδικοποίηση βίντεο VP8 και VP9 στις επικοινωνίες WebRTC.
Συγκεκριμένα, η ευπάθεια εμφανίζεται στη συνάρτηση vpx_codec_enc_init_multi, κατά τη διαχείριση αποτυχημένων δεσμεύσεων μνήμης στη διαδικασία αρχικοποίησης του κωδικοποιητή για το WebRTC.
Σύμφωνα με την ανακοίνωση ασφαλείας της Mozilla: «Μπορούσε να προκύψει ένα double-free στη vpx_codec_enc_init_multi μετά από αποτυχημένη δέσμευση μνήμης κατά την αρχικοποίηση του κωδικοποιητή για WebRTC. Αυτό θα μπορούσε να προκαλέσει αλλοίωση μνήμης και πιθανή κατάρρευση του συστήματος, που θα μπορούσε να αξιοποιηθεί για κακόβουλη εκτέλεση κώδικα.»
Η βασική αιτία εντοπίστηκε στη συνάρτηση vp8e_init(), όπου ο κωδικοποιητής αναλάμβανε την ιδιοκτησία της mr_cfg.mr_low_res_mode_info, ακόμη και στην περίπτωση που η vp8_create_compressor() αποτύγχανε.
Δείτε ακόμα: Ο Firefox 138 κυκλοφόρησε με επιδιόρθωση για πολλά ελαττώματα
Αυτό δημιουργούσε ασάφεια στο σημείο κλήσης, καθώς άλλες αποτυχίες στη vp8e_init() δεν οδηγούσαν σε μεταφορά ιδιοκτησίας, με αποτέλεσμα τόσο η συνάρτηση που την κάλεσε όσο και η vpx_codec_destroy() να επιχειρούν να αποδεσμεύσουν την ίδια περιοχή μνήμης — γεγονός που οδηγούσε στην κατάσταση double-free.
Αυτή η ευπάθεια επηρεάζει πολλές εκδόσεις και παραλλαγές του Firefox, συμπεριλαμβανομένων των εξής:
• Firefox εκδόσεις πριν από την 139.0
• Firefox ESR εκδόσεις πριν από την 128.11
• Firefox ESR εκδόσεις πριν από την 115.24
Οι ειδικοί ασφαλείας την ταξινομούν ως κρίσιμη ευπάθεια, καθώς θα μπορούσε να επιτρέψει σε επιτιθέμενους την εκτέλεση αυθαίρετου κώδικα στα συστήματα των θυμάτων. Το γεγονός ότι η ευπάθεια εντοπίζεται στο WebRTC —ένα ευρέως χρησιμοποιούμενο πρωτόκολλο για επικοινωνίες σε πραγματικό χρόνο, όπως βιντεοκλήσεις και διαδραστικές λειτουργίες μέσω browser — την καθιστά ιδιαίτερα ανησυχητική.
Δείτε επίσης: Chrome 135 και Firefox 137 διορθώνουν ευπάθειες υψηλής σοβαρότητας
Βάσει των παραπάνω, είναι σημαντικό να τονιστεί ότι ευπάθειες όπως αυτή που εντοπίστηκε στο WebRTC επηρεάζουν άμεσα την ασφάλεια εκατομμυρίων χρηστών παγκοσμίως, καθώς πρόκειται για τεχνολογίες που χρησιμοποιούνται καθημερινά χωρίς ιδιαίτερη επίγνωση από τον μέσο χρήστη. Αυτό αναδεικνύει και τη σημασία των τακτικών ενημερώσεων ασφαλείας. Οι χρήστες και οι διαχειριστές συστημάτων πρέπει να διασφαλίζουν ότι χρησιμοποιούν πάντα τις πιο πρόσφατες εκδόσεις λογισμικού, ειδικά όταν πρόκειται για εφαρμογές με πρόσβαση στο διαδίκτυο.
Πηγή: cybersecuritynews
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz