Η Google έχει εκχωρήσει ένα νέο αναγνωριστικό CVE (CVE-2023-5129) σε μια ευπάθεια ασφαλείας του libwebp που αξιοποιήθηκε ως μηδενική ημέρα στις επιθέσεις και διορθώθηκε πριν από δύο εβδομάδες.
Η εταιρεία αρχικά αποκάλυψε το ελάττωμα ως αδυναμία του Chrome, παρακολουθούμενη ως
CVE-2023-4863
αντί να το εκχωρήσετε στη βιβλιοθήκη libwebp ανοιχτού κώδικα που χρησιμοποιείται για την κωδικοποίηση και την αποκωδικοποίηση εικόνων σε μορφή WebP.
Αυτό το
σφάλμα
μηδενικής ημέρας αναφέρθηκε από κοινού από την Apple Security Engineering and
Architecture
(SEAR) και το Citizen Lab στο Munk School του Πανεπιστημίου του
Το
ρόντο την Τετάρτη, 6 Σεπτεμβρίου και επιδιορθώθηκε από την Google λιγότερο από μία εβδομάδα αργότερα.
Οι ερευνητές ασφαλείας στο Citizen Lab έχουν καθιερωμένο ιστορικό εντοπισμού και αποκάλυψης μηδενικών ημερών που έχουν γίνει κατάχρηση σε στοχευμένες εκστρατείες spyware, που συχνά συνδέονται με κρατικούς φορείς απειλών που στοχεύουν κυρίως άτομα υψηλού κινδύνου, όπως δημοσιογράφους και πολιτικούς της αντιπολίτευσης.
Η απόφαση να το επισημάνετε ως σφάλμα του Chrome
προκάλεσε σύγχυση
εντός της κοινότητας της κυβερνοασφάλειας, προκαλώντας ερωτήματα σχετικά με την επιλογή της Google να το κατηγοριοποιήσει ως ζήτημα του Google Chrome αντί να το προσδιορίσει ως ελάττωμα του libwebp.
Ο ιδρυτής της εταιρείας συμβούλων ασφαλείας Ben Hawkes (ο οποίος προηγουμένως ήταν επικεφαλής της ομάδας Project Zero της Google) συνέδεσε επίσης το CVE-2023-4863 με την ευπάθεια CVE-2023-41064
απευθυνόμενος από την Apple στις 7 Σεπτεμβρίου
και γίνεται κατάχρηση ως μέρος μιας αλυσίδας εκμετάλλευσης iMessage με μηδενικό κλικ (με την ονομασία BLASTPASS) για να μολύνει πλήρως επιδιορθωμένα iPhone με το εμπορικό spyware Pegasus του Ομίλου NSO.
Νέα
μέγιστη σοβαρότητα CVE
Ωστόσο, τώρα έχει εκχωρήσει ένα άλλο αναγνωριστικό CVE,
CVE-2023-5129
, χαρακτηρίζοντάς το ως κρίσιμο ζήτημα στο libwebp με μέγιστη βαθμολογία σοβαρότητας 10/10. Αυτή η αλλαγή έχει σημαντικές επιπτώσεις για άλλα έργα που χρησιμοποιούν τη βιβλιοθήκη ανοιχτού κώδικα libwebp.
Τώρα αναγνωρίζεται επίσημα ως ελάττωμα libwebp, περιλαμβάνει μια υπερχείλιση buffer στο WebP, επηρεάζοντας τις εκδόσεις του Google Chrome που προηγούνται της 116.0.5845.187.
Αυτή η ευπάθεια
βρίσκεται στον αλγόριθμο κωδικοποίησης Huffman
χρησιμοποιείται από το libwebp για συμπίεση χωρίς απώλειες και δίνει τη δυνατότητα στους εισβολείς να εκτελούν εγγραφές μνήμης εκτός ορίων χρησιμοποιώντας σελίδες HTML που έχουν δημιουργηθεί με κακόβουλο τρόπο.
Αυτός ο τύπος εκμετάλλευσης μπορεί να έχει σοβαρές συνέπειες, από σφάλματα έως αυθαίρετη εκτέλεση κώδικα και μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες.
Η αναταξινόμηση του CVE-2023-5129 ως ευπάθειας του libwebp έχει ιδιαίτερη σημασία, καθώς αρχικά έμεινε απαρατήρητη ως πιθανή απειλή ασφαλείας για πολλά έργα που χρησιμοποιούν το libwebp, συμπεριλαμβανομένου
1 Κωδικός πρόσβασης
,
Σήμα
Safari, Mozilla Firefox, Microsoft Edge, Opera και τα εγγενή προγράμματα περιήγησης ιστού Android.
Η αναθεωρημένη κριτική αξιολόγηση υπογραμμίζει τη σημασία της έγκαιρης αντιμετώπισης της ευπάθειας ασφαλείας (τώρα παρακολουθείται σε πολλαπλά αναγνωριστικά CVE με διαφορετικές αξιολογήσεις σοβαρότητας) σε αυτές τις πλατφόρμες για να διασφαλιστεί η ασφάλεια των δεδομένων των χρηστών.
Ένας εκπρόσωπος της Google δεν ήταν άμεσα διαθέσιμος για σχόλιο όταν επικοινώνησε η BleepingComputer νωρίτερα
σήμερα
.
