Google е определила нов CVE ID (CVE-2023-5129) за уязвимостта в сигурността на libwebp, използвана като нулев ден при атаки и поправена преди две седмици.
Първоначално компанията разкрива недостатъка като слабост на Chrome, проследена като CVE-2023-4863, вместо да го присвои на библиотеката с отворен код libwebp, използвана за кодиране и декодиране на изображения във формат WebP.
Този бъг от нулевия ден беше докладван съвместно от Apple Security Engineering and Architecture (SEAR) и Citizen Lab в Munk School към Университета в Торонто в сряда, 6 септември, и отстранен от Google по-малко от седмица по-късно.
Изследователите в областта на сигурността от Citizen Lab имат утвърден опит в откриването и разкриването на „нулеви дни“, които са били използвани в целенасочени кампании за шпионски софтуер, често свързани с държавно спонсорирани заплахи, насочени предимно към високорискови лица като журналисти и опозиционни политици.
Решението да се обозначи като грешка в Chrome предизвика объркване в общността за киберсигурност, което породи въпроси относно избора на Google да я категоризира като проблем на Google Chrome, вместо да я определи като недостатък в libwebp.
Основателят на консултантска фирма за сигурност Бен Хоукс (който преди това ръководеше екипа на Project Zero на Google) също така свърза CVE-2023-4863 с уязвимостта CVE-2023-41064, адресирана от Apple на 7 септември и използвана като част от верига от експлойти за iMessage с нулево кликване (наречена BLASTPASS) за заразяване на напълно пакетирани iPhone-и с търговския шпионски софтуер Pegasus на NSO Group.
Сега обаче тя е определила друг CVE ID – CVE-2023-5129, като го е определила като критичен проблем в libwebp с максимална оценка на сериозността 10/10. Тази промяна има значителни последици за други проекти, използващи библиотеката с отворен код libwebp.
Сега официално признат като недостатък на libwebp, той включва препълване на буфера на купа в WebP, което оказва влияние върху версиите на Google Chrome, предшестващи 116.0.5845.187.
Тази уязвимост се крие в алгоритъма за кодиране Huffman, използван от libwebp за компресия без загуби, и позволява на атакуващите да изпълняват записи в паметта извън границите, като използват злонамерено създадени HTML страници.
Този тип експлойт може да има тежки последици – от сривове до изпълнение на произволен код и неоторизиран достъп до чувствителна информация.
Прекласифицирането на CVE-2023-5129 като уязвимост на libwebp е от особена важност поради това, че първоначално тя не е била забелязана като потенциална заплаха за сигурността на множество проекти, използващи libwebp, включително 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera и оригиналните уеб браузъри за Android.
Преразгледаната критична оценка подчертава важността на незабавното отстраняване на уязвимостта в сигурността (която сега се проследява под няколко идентификатора CVE с различни оценки за сериозност) в тези платформи, за да се гарантира сигурността на данните на потребителите.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.