Google поделилась новой информацией о серьезной уязвимости, которая влияет на тысячи различных приложений и программных платформ. Ранее сообщение о проблеме создавало впечатление, что опасность связана только с браузером Chrome.
Источником уязвимости является кодовая библиотека libwebp, разработанная Google в 2010 году для работы с WebP-изображениями. Этот формат позволял уменьшить размер файлов на 26% по сравнению с PNG. Libwebp встроена практически во все приложения, операционные системы или другие кодовые библиотеки, которые работают с WebP-изображениями, например, в платформе Electron, которая используется в Chrome и многих других приложениях для компьютеров и смартфонов.
2 недели назад Google опубликовала информацию об уязвимости переполнения буфера в WebP в Chrome ( CVE-2023-4863 CVSS: 8.8). Описание проблемы указывало Chrome как пострадавшее ПО, хотя проблема касалась любого кода, который использовал libwebp. Эксперты предупредили, что недосказанность со стороны Google может привести к задержке в исправлении проблемы.
На этой неделе Google выявила новую ошибку CVE-2023-5129 CVSS: 10, отметив, что проблема связана с библиотекой libwebp. Кроме того, уровень риска уязвимости был повышен с 8,8 до 10. В новом сообщении Google предоставила гораздо больше подробностей. Если ранее уязвимость называлась как «переполнение буфера в WebP в Google Chrome», то теперь добавлено, что при использовании специально подготовленного файла WebP libwebp может записывать данные за пределами буфера.
Неточность первого CVE от Google не просто теоретическая ошибка. Более двух недель спустя множество ПО остается без исправлений. Неважно, отслеживается ли уязвимость как CVE-2023-4863 или CVE-2023-5129, уязвимость в libwebp является опасной. Пользователи должны проверить, что используемые версии Electron соответствуют v22.3.24, v24.8.3 или v25.8.1.
Кроме Google с проблемой с WebP-изображениями столкнулась и Apple, которая также 2 недели назад Apple сообщила о том , что злоумышленники активно используют уязвимость в iOS для установки шпионского ПО Pegasus. Атаки проводились без взаимодействия с пользователем (Zero-Click): достаточно было получить вызов или сообщение на iPhone, чтобы устройство было заражено.
Apple указала, что уязвимость, отслеживаемая как CVE-2023-41064 (CVSS: 7.8) и уже исправленная на данный момент , происходит из ошибки переполнения буфера в ImageIO – платформе, которая позволяет приложениям читать и записывать большинство форматов изображений, включая WebP.
Специалисты по безопасности предположили, что обе уязвимости могут иметь общий источник , и раскритиковали Apple, Google и Citizen Lab за то, что они не согласовали свои действия и не указали на общий источник уязвимости, предпочитая использовать разные обозначения CVE. Специалисты из компании безопасности Rezillion подтвердили, что обе уязвимости действительно происходят от одной и той же ошибки в кодовой библиотеке libwebp, которая используется для обработки изображений WebP.
Источником уязвимости является кодовая библиотека libwebp, разработанная Google в 2010 году для работы с WebP-изображениями. Этот формат позволял уменьшить размер файлов на 26% по сравнению с PNG. Libwebp встроена практически во все приложения, операционные системы или другие кодовые библиотеки, которые работают с WebP-изображениями, например, в платформе Electron, которая используется в Chrome и многих других приложениях для компьютеров и смартфонов.
2 недели назад Google опубликовала информацию об уязвимости переполнения буфера в WebP в Chrome ( CVE-2023-4863 CVSS: 8.8). Описание проблемы указывало Chrome как пострадавшее ПО, хотя проблема касалась любого кода, который использовал libwebp. Эксперты предупредили, что недосказанность со стороны Google может привести к задержке в исправлении проблемы.
На этой неделе Google выявила новую ошибку CVE-2023-5129 CVSS: 10, отметив, что проблема связана с библиотекой libwebp. Кроме того, уровень риска уязвимости был повышен с 8,8 до 10. В новом сообщении Google предоставила гораздо больше подробностей. Если ранее уязвимость называлась как «переполнение буфера в WebP в Google Chrome», то теперь добавлено, что при использовании специально подготовленного файла WebP libwebp может записывать данные за пределами буфера.
Неточность первого CVE от Google не просто теоретическая ошибка. Более двух недель спустя множество ПО остается без исправлений. Неважно, отслеживается ли уязвимость как CVE-2023-4863 или CVE-2023-5129, уязвимость в libwebp является опасной. Пользователи должны проверить, что используемые версии Electron соответствуют v22.3.24, v24.8.3 или v25.8.1.
Кроме Google с проблемой с WebP-изображениями столкнулась и Apple, которая также 2 недели назад Apple сообщила о том , что злоумышленники активно используют уязвимость в iOS для установки шпионского ПО Pegasus. Атаки проводились без взаимодействия с пользователем (Zero-Click): достаточно было получить вызов или сообщение на iPhone, чтобы устройство было заражено.
Apple указала, что уязвимость, отслеживаемая как CVE-2023-41064 (CVSS: 7.8) и уже исправленная на данный момент , происходит из ошибки переполнения буфера в ImageIO – платформе, которая позволяет приложениям читать и записывать большинство форматов изображений, включая WebP.
Специалисты по безопасности предположили, что обе уязвимости могут иметь общий источник , и раскритиковали Apple, Google и Citizen Lab за то, что они не согласовали свои действия и не указали на общий источник уязвимости, предпочитая использовать разные обозначения CVE. Специалисты из компании безопасности Rezillion подтвердили, что обе уязвимости действительно происходят от одной и той же ошибки в кодовой библиотеке libwebp, которая используется для обработки изображений WebP.
Последнее редактирование: