Исследования показали, что критические уязвимости "нулевого дня" в продуктах Apple и Google создали "огромное слепое пятно" для многих разработчиков приложений. Ранее Apple сообщала о критической уязвимости в iOS, которая была использована для установки шпионского ПО Pegasus, в то время как Google обнаружила аналогичную уязвимость в браузере Chrome.
Исследователи из компании Rezillion выяснили, что обе эти уязвимости проистекают из одной и той же ошибки в библиотеке кода libwebp, используемой в различных приложениях и фреймворках.
Несмотря на общий корень проблемы, Apple, Google и Citizen Lab присвоили этим уязвимостям разные обозначения CVE, что привело к тому, что множество других приложений, использующих libwebp, остались без необходимых исправлений. Это "слепое пятно" может представлять серьезную угрозу для организаций, полагающихся на сканеры уязвимостей для обеспечения безопасности своих систем.
Список приложений, подверженных этой уязвимости, включает в себя известные программы, такие как Slack, Visual Studio Code, WebTorrent, Microsoft Teams, GitHub Desktop, 1Password, Discord, Signal и Twitch.
