Компания Google, не делая никаких анонсов, пересмотрела рейтинг уязвимости CVE-2023-4863, связанной с опенсорсной библиотекой libwebp. Теперь, как и предупреждали ИБ-эксперты, эта проблема, затрагивающая тысячи приложений, оценивается как критическая (10 баллов из 10 возможных по шкале CVSS) и имеет собственный идентификатор CVE — CVE-2023-5129.

Напомним, что изначально компания раскрыла данные об этой уязвимости в Chrome, присвоив ей идентификатор CVE-2023-4863, но не упоминала о ее связи с библиотекой libwebp, разработанной внутри самой Google для обработки изображений WebP.

Вскоре об устранении этой же проблемы отчитались эксперты Apple Security Engineering and Architecture (SEAR) и компании Citizen Lab (здесь баг отслеживался как CVE-2023-41064), а также разработчики Mozilla Firefox (CVE-2023-4863). Стало понятно, что речь идет об одной и той же уязвимости, которую компании исправляют порознь, и о скоординированном раскрытии информации речи явно не идет.

Специалисты Citizen Lab и вовсе заявляли, что проблема CVE-2023-41064 применялись злоумышленниками как часть цепочки zero-click эксплоитов для iMessage, которая получила общее название BLASTPASS.

Происходящее вызвало немалое замешательство в ИБ-сообществе, а у специалистов по информационной безопасности возникли вопросы к Google, которая по неизвестным причинам решила не связывать эту ошибку с libwebp, тем самым ставя под угрозу тысячи приложений, использующих библиотеку.

Дело в том, что libwebp используется в составе практически каждого приложения, ОС и других библиотек, которые работают с изображениями формата WebP. В первую очередь это относится к фреймворку Electron, который применяется в Chrome и многих других приложениях для декстопных и мобильных устройств. То есть пред багом оказались уязвимы многочисленные проекты, использующие libwebp, включая Microsoft Teams, 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera и нативные браузеры для Android и так далее.

В итоге компания подверглась критике со стороны экспертов и СМИ, которые подчеркивали, что умалчивание о проблеме в libwebp приведет к ненужным задержкам в выходе патчей, а злоумышленники, тем временем, будут выполнять вредоносный код, просто показывая пользователям вредоносные изображения WebP.

Как теперь обнаружили журналисты и ИБ-специалисты, на этой неделе компания Google, не привлекая лишнего внимания, внесла изменения в свой бюллетень безопасности, посвященный проблеме CVE-2023-4863.

Так, ранее в компании сообщали, что проблема связана с переполнением буфера хипа WebP в Chrome, а среди затронутых продуктов упоминался только сам браузер Google. Теперь же Google выпустила новое сообщение, в котором представлено более детальное описание уязвимости, и проблеме присвоен новый идентификатор CVE-2023-5129.

В новой записи наконец упомянута затронутая проблемой библиотека libwebp, а рейтинг уязвимости повышен до максимального — 10 баллов из 10 возможных (против 8,8 балла, ранее присвоенных CVE-2023-4863).

Как объясняется теперь, баг связан с алгоритмом Хаффмана, который используется libwebp для lossless сжатия, и позволяет злоумышленникам выполнять out-of-bounds запись с использованием вредоносных HTML-страниц.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии