Компания Google, не делая никаких анонсов, пересмотрела рейтинг уязвимости CVE-2023-4863, связанной с опенсорсной библиотекой libwebp. Теперь, как и предупреждали ИБ-эксперты, эта проблема, затрагивающая тысячи приложений, оценивается как критическая (10 баллов из 10 возможных по шкале CVSS) и имеет собственный идентификатор CVE — CVE-2023-5129.
Напомним, что изначально компания раскрыла данные об этой уязвимости в Chrome, присвоив ей идентификатор CVE-2023-4863, но не упоминала о ее связи с библиотекой libwebp, разработанной внутри самой Google для обработки изображений WebP.
Вскоре об устранении этой же проблемы отчитались эксперты Apple Security Engineering and Architecture (SEAR) и компании Citizen Lab (здесь баг отслеживался как CVE-2023-41064), а также разработчики Mozilla Firefox (CVE-2023-4863). Стало понятно, что речь идет об одной и той же уязвимости, которую компании исправляют порознь, и о скоординированном раскрытии информации речи явно не идет.
Специалисты Citizen Lab и вовсе заявляли, что проблема CVE-2023-41064 применялись злоумышленниками как часть цепочки zero-click эксплоитов для iMessage, которая получила общее название BLASTPASS.
Происходящее вызвало немалое замешательство в ИБ-сообществе, а у специалистов по информационной безопасности возникли вопросы к Google, которая по неизвестным причинам решила не связывать эту ошибку с libwebp, тем самым ставя под угрозу тысячи приложений, использующих библиотеку.
Дело в том, что libwebp используется в составе практически каждого приложения, ОС и других библиотек, которые работают с изображениями формата WebP. В первую очередь это относится к фреймворку Electron, который применяется в Chrome и многих других приложениях для декстопных и мобильных устройств. То есть пред багом оказались уязвимы многочисленные проекты, использующие libwebp, включая Microsoft Teams, 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera и нативные браузеры для Android и так далее.
В итоге компания подверглась критике со стороны экспертов и СМИ, которые подчеркивали, что умалчивание о проблеме в libwebp приведет к ненужным задержкам в выходе патчей, а злоумышленники, тем временем, будут выполнять вредоносный код, просто показывая пользователям вредоносные изображения WebP.
Как теперь обнаружили журналисты и ИБ-специалисты, на этой неделе компания Google, не привлекая лишнего внимания, внесла изменения в свой бюллетень безопасности, посвященный проблеме CVE-2023-4863.
Так, ранее в компании сообщали, что проблема связана с переполнением буфера хипа WebP в Chrome, а среди затронутых продуктов упоминался только сам браузер Google. Теперь же Google выпустила новое сообщение, в котором представлено более детальное описание уязвимости, и проблеме присвоен новый идентификатор CVE-2023-5129.
В новой записи наконец упомянута затронутая проблемой библиотека libwebp, а рейтинг уязвимости повышен до максимального — 10 баллов из 10 возможных (против 8,8 балла, ранее присвоенных CVE-2023-4863).
Как объясняется теперь, баг связан с алгоритмом Хаффмана, который используется libwebp для lossless сжатия, и позволяет злоумышленникам выполнять out-of-bounds запись с использованием вредоносных HTML-страниц.