Google е определила нов CVE ID (CVE-2023-5129) за уязвимостта в сигурността на libwebp, използвана като нулев ден при атаки и поправена преди две седмици.

Първоначално компанията разкрива недостатъка като слабост на Chrome, проследена като CVE-2023-4863, вместо да го присвои на библиотеката с отворен код libwebp, използвана за кодиране и декодиране на изображения във формат WebP.

Този бъг от нулевия ден беше докладван съвместно от Apple Security Engineering and Architecture (SEAR) и Citizen Lab в Munk School към Университета в Торонто в сряда, 6 септември, и отстранен от Google по-малко от седмица по-късно.

Изследователите в областта на сигурността от Citizen Lab имат утвърден опит в откриването и разкриването на „нулеви дни“, които са били използвани в целенасочени кампании за шпионски софтуер, често свързани с държавно спонсорирани заплахи, насочени предимно към високорискови лица като журналисти и опозиционни политици.

Решението да се обозначи като грешка в Chrome предизвика объркване в общността за киберсигурност, което породи въпроси относно избора на Google да я категоризира като проблем на Google Chrome, вместо да я определи като недостатък в libwebp.

Основателят на консултантска фирма за сигурност Бен Хоукс (който преди това ръководеше екипа на Project Zero на Google) също така свърза CVE-2023-4863 с уязвимостта CVE-2023-41064, адресирана от Apple на 7 септември и използвана като част от верига от експлойти за iMessage с нулево кликване (наречена BLASTPASS) за заразяване на напълно пакетирани iPhone-и с търговския шпионски софтуер Pegasus на NSO Group.

Нова максимална тежест на CVE

Сега обаче тя е определила друг CVE ID – CVE-2023-5129, като го е определила като критичен проблем в libwebp с максимална оценка на сериозността 10/10. Тази промяна има значителни последици за други проекти, използващи библиотеката с отворен код libwebp.

Сега официално признат като недостатък на libwebp, той включва препълване на буфера на купа в WebP, което оказва влияние върху версиите на Google Chrome, предшестващи 116.0.5845.187.

Тази уязвимост се крие в алгоритъма за кодиране Huffman, използван от libwebp за компресия без загуби, и позволява на атакуващите да изпълняват записи в паметта извън границите, като използват злонамерено създадени HTML страници.

Този тип експлойт може да има тежки последици – от сривове до изпълнение на произволен код и неоторизиран достъп до чувствителна информация.

Прекласифицирането на CVE-2023-5129 като уязвимост на libwebp е от особена важност поради това, че първоначално тя не е била забелязана като потенциална заплаха за сигурността на множество проекти, използващи libwebp, включително 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera и оригиналните уеб браузъри за Android.

Преразгледаната критична оценка подчертава важността на незабавното отстраняване на уязвимостта в сигурността (която сега се проследява под няколко идентификатора CVE с различни оценки за сериозност) в тези платформи, за да се гарантира сигурността на данните на потребителите.

 

 

Източник: По материали от Интернет

Подобни публикации

24 януари 2025

Google ще инвестира още 1 милиард долара в Anth...

Google обяви, че планира да увеличи инвестициите си в Anthropic, сл...
24 януари 2025

DryRun набира 8,7 милиона долара начално финанс...

В сряда DryRun Security обяви, че е набрала 8,7 млн. долара в начал...
24 януари 2025

Новият Identity Check в Android заключва настро...

Google обяви нова функция за сигурност на Android „Проверка на само...
24 януари 2025

QNAP отстранява 6 уязвимости на Rsync в приложе...

QNAP е отстранила шест уязвимости в rsync, които могат да позволят ...
24 януари 2025

Инженер по ИИ е сред най-бързо развиващите се п...

Инженер по изкуствен интелект (ИИ) е сред най-търсените длъжности н...
24 януари 2025

Шефът на НАТО бърза с внедряването на ИИ във во...

Световният икономически форум предложи поглед към бъдещето – ...
24 януари 2025

Цялото население на Грузия е изложено на риск п...

База данни с милиони данни за грузински граждани се появява в облак...
24 януари 2025

Верижно свързани уязвимости на Ivanti в кибератаки

Кибератакистите използват нов вектор на заплаха, включващ няколко у...
24 януари 2025

Axoflow набира 7 млн. долара за платформа за ку...

Платформата за куриране на данни за сигурността Axoflow обяви в сря...
Бъдете социални
Още по темата
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

Потребителите на Homebrew m...

Новооткрита зловредна рекламна кампания, насочена към...
08/01/2025

Първа актуализация на Andro...

В понеделник Google обяви първия набор...
Последно добавени
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

Новият Identity Check в And...

Google обяви нова функция за сигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!