Chromium libvpx

Die Schwachstelle liegt in libvpx, einer Programmbibliothek zur Video-Kodierung, die im Chromium-Browser von Google verwendet wird. Konkret betroffen ist die VP8-Kodierung, also der Teil, der Videodaten im VP8-Format verarbeitet. Hier kommt es zu einem Heap-Pufferüberlauf: Die Bibliothek schreibt mehr Daten in einen reservierten Speicherbereich, als dieser fassen kann, wodurch angrenzender Speicher überschrieben wird. Ein Angreifer kann diesen Fehler aus der Ferne auslösen, indem er eine speziell präparierte HTML-Seite bereitstellt; ruft das Opfer diese Seite im Browser auf, wird der fehlerhafte Code angestoßen. Über die so erzeugte Speicherbeschädigung lässt sich die Verarbeitung manipulieren, was bis zur Ausführung von eingeschleustem Code führen kann. Betroffen ist nicht nur Google Chrome selbst, sondern grundsätzlich jeder Webbrowser und jede Anwendung, die auf libvpx zur Video-Kodierung zurückgreift.