Google е определила нов CVE ID (CVE-2023-5129) за уязвимостта в сигурността на libwebp, използвана като нулев ден при атаки и поправена преди две седмици.

Първоначално компанията разкрива недостатъка като слабост на Chrome, проследена като CVE-2023-4863, вместо да го присвои на библиотеката с отворен код libwebp, използвана за кодиране и декодиране на изображения във формат WebP.

Този бъг от нулевия ден беше докладван съвместно от Apple Security Engineering and Architecture (SEAR) и Citizen Lab в Munk School към Университета в Торонто в сряда, 6 септември, и отстранен от Google по-малко от седмица по-късно.

Изследователите в областта на сигурността от Citizen Lab имат утвърден опит в откриването и разкриването на „нулеви дни“, които са били използвани в целенасочени кампании за шпионски софтуер, често свързани с държавно спонсорирани заплахи, насочени предимно към високорискови лица като журналисти и опозиционни политици.

Решението да се обозначи като грешка в Chrome предизвика объркване в общността за киберсигурност, което породи въпроси относно избора на Google да я категоризира като проблем на Google Chrome, вместо да я определи като недостатък в libwebp.

Основателят на консултантска фирма за сигурност Бен Хоукс (който преди това ръководеше екипа на Project Zero на Google) също така свърза CVE-2023-4863 с уязвимостта CVE-2023-41064, адресирана от Apple на 7 септември и използвана като част от верига от експлойти за iMessage с нулево кликване (наречена BLASTPASS) за заразяване на напълно пакетирани iPhone-и с търговския шпионски софтуер Pegasus на NSO Group.

Нова максимална тежест на CVE

Сега обаче тя е определила друг CVE ID – CVE-2023-5129, като го е определила като критичен проблем в libwebp с максимална оценка на сериозността 10/10. Тази промяна има значителни последици за други проекти, използващи библиотеката с отворен код libwebp.

Сега официално признат като недостатък на libwebp, той включва препълване на буфера на купа в WebP, което оказва влияние върху версиите на Google Chrome, предшестващи 116.0.5845.187.

Тази уязвимост се крие в алгоритъма за кодиране Huffman, използван от libwebp за компресия без загуби, и позволява на атакуващите да изпълняват записи в паметта извън границите, като използват злонамерено създадени HTML страници.

Този тип експлойт може да има тежки последици – от сривове до изпълнение на произволен код и неоторизиран достъп до чувствителна информация.

Прекласифицирането на CVE-2023-5129 като уязвимост на libwebp е от особена важност поради това, че първоначално тя не е била забелязана като потенциална заплаха за сигурността на множество проекти, използващи libwebp, включително 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera и оригиналните уеб браузъри за Android.

Преразгледаната критична оценка подчертава важността на незабавното отстраняване на уязвимостта в сигурността (която сега се проследява под няколко идентификатора CVE с различни оценки за сериозност) в тези платформи, за да се гарантира сигурността на данните на потребителите.