Компания Google присвоила новый идентификатор CVE (CVE-2023-5129) уязвимости libwebp, которая использовалась в атаках "нулевого дня" и была исправлена две недели назад.
Изначально компания раскрыла эту уязвимость как недостаток Chrome, отслеживаемый как CVE-2023-4863, а не присвоила ее библиотеке с открытым исходным кодом libwebp, используемой для кодирования и декодирования изображений в формате WebP.
Сообщение об этой ошибке нулевого дня было сделано совместно специалистами Apple Security Engineering and Architecture (SEAR) и Citizen Lab из Школы Мунка при Университете Торонто в среду, 6 сентября, и менее чем через неделю исправлено компанией Google.
Исследователи безопасности из Citizen Lab имеют большой опыт обнаружения и раскрытия "нулевых дней", которые использовались в целенаправленных шпионских кампаниях, часто связанных с государственными структурами, нацеленными в первую очередь на людей с высокой степенью риска, таких как журналисты и оппозиционные политики.
Решение отнести ошибку к Chrome вызвало замешательство в сообществе кибербезопасности, что привело к вопросам о том, почему Google решила отнести ее к проблемам Google Chrome, а не идентифицировать ее как дефект в libwebp.
Основатель консалтинговой компании по безопасности Бен Хоукс (ранее возглавлявший группу Google Project Zero) также связал CVE-2023-4863 с уязвимостью CVE-2023-41064, устраненной компанией Apple 7 сентября, которая использовалась как часть цепочки эксплойтов для iMessage с нулевым кликом (BLASTPASS) для заражения полностью пропатченных iPhone коммерческим шпионским ПО Pegasus от NSO Group.
Новый CVE максимальной степени тяжести
Однако теперь еще один идентификатор CVE, CVE-2023-5129, помечен как критическая проблема в libwebp с максимальной степенью серьезности 10/10. Это изменение имеет важные последствия для других проектов, использующих библиотеку с открытым кодом libwebp.
Уязвимость, которая теперь официально признана уязвимостью libwebp, связана с переполнением буфера стека в WebP и затрагивает версии Google Chrome до 116.0.5845.187.
Уязвимость существует в алгоритме кодирования Huffman, используемом в libwebp для сжатия без потерь, что позволяет злоумышленникам выполнять запись в память за пределами границ, используя злонамеренно созданные HTML-страницы.
Подобная эксплуатация может привести к серьезным последствиям, начиная от сбоев и заканчивая выполнением произвольного кода и несанкционированным доступом к конфиденциальной информации.
Переклассификация CVE-2023-5129 в уязвимость libwebp имеет особое значение в связи с тем, что первоначально она осталась незамеченной как потенциальная угроза безопасности для многочисленных проектов, использующих libwebp, включая 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera и собственные веб-браузеры Android.
Пересмотренный рейтинг "критический" подчеркивает важность оперативного устранения уязвимости (которая теперь отслеживается под несколькими идентификаторами CVE с разной степенью серьезности) на этих платформах для обеспечения безопасности данных пользователей.
Представитель Google не смог получить комментарии, когда Герман Геншин связался с ним ранее сегодня.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
