Apple и Google скрыли детали уязвимостей: миллионы устройств в опасности

Согласно новому отчёту ИБ-компании Rezillion, в недавних сообщениях Apple и Google была предоставлена неполная информация о критических уязвимостях, которые активно эксплуатируются в их продуктах. Такая недосказанность создала огромное слепое пятно, из-за которого большое количество программных продуктов других разработчиков остается без исправлений.

2 недели назад Apple предупредила о том , что злоумышленники активно используют уязвимость в iOS для установки шпионского ПО Pegasus. Атаки осуществлялись без взаимодействия с пользователем (Zero-Click): достаточно было получить звонок или сообщение на iPhone, чтобы устройство было заражено.

Apple указала, что уязвимость, отслеживаемая как CVE-2023-41064 (CVSS: 7.8) и уже исправленная на данный момент , происходит из ошибки переполнения буфера в ImageIO – фреймворке, который позволяет приложениям читать и записывать большинство форматов изображений, включая WebP. Открытие этой уязвимости было приписано Citizen Lab.

Через несколько дней Google также сообщила о критической уязвимости в браузере Chrome, связанной с переполнением буфера в WebP. Уязвимость, обозначенная как CVE-2023-4863 (CVSS: 8.8), была раскрыта командой безопасности Apple и Citizen Lab.

Быстро возникли догадки о том, что обе уязвимости могут иметь общий источник. Исследователи из компании безопасности Rezillion подтвердили, что обе уязвимости действительно происходят от одной и той же ошибки в библиотеке кода libwebp, которая используется для обработки изображений WebP.

Исследователи раскритиковали Apple, Google и Citizen Lab за то, что они не координировали свои действия и не указали на общий источник уязвимости, предпочитая использовать разные обозначения CVE. Это означает, что «миллионы различных приложений» останутся уязвимыми, пока не будет применено исправление для libwebp. Google также подверглась критике за ограничение описания уязвимости только браузером Chrome, не упоминая библиотеку libwebp, которая, как предполагается, также уязвима.

Список программных продуктов, которые интегрируют libwebp и еще не получили исправления, включает такие популярные программы, как Microsoft Teams и Visual Studio Code, а также множество других приложений на базе фреймворка Electron .

Однако многие программные продукты уже были обновлены для устранения этой уязвимости. Среди них:

• Google Chrome (версии для Mac и Linux 116.0.5845.187 и для Windows 116.0.5845.187/.188);
• Mozilla (Firefox версии 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1), Thunderbird (версии 102.15.1 и 115.2.2);
• Brave Browser (версия 1.57.64);
• Microsoft Edge (версии 109.0.1518.140, 116.0.1938.81 и 117.0.2045.31);
• Tor Browser (версия 12.5.4);
• Opera (версия 102.0.4880.46);
• Vivaldi (версия 6.2.3105.47);
• Операционные системы Debian , Ubuntu , Alpine , Gentoo , RedHat , SUSE , Oracle и Amazon Linux .

Другое ПО:

• Zulip Server – version 7.4;
  
• Electron – versions 22.3.24, 24.8.3, 25.8.1, 26.2.1 and 27.0.0-beta.2;
• Xplan – version 23.9.289;
• Signal-Desktop – version 6.30.2;
• Honeyview – version 5.51.

Rezillion также указала на то, что Apple ImageIO использует libwebp и ссылается на определенные файлы, которые вызвали уязвимость CVE-2023-4863. Если CVE охватывает одну и ту же основную уязвимость, команды, участвующие в ее обнаружении, должны были координироваться между собой и ясно указать происхождение ошибки. Без комментариев от Citizen Lab и Apple сложно точно определить отношения между уязвимостями, раскрытыми Google и Apple.

Исследователи подчеркнули, что неполные раскрытия создают серьезные проблемы для разработчиков, пытающихся определить, уязвимы ли их продукты. Эксперты также предупредили о риске получения ложных результатов при поиске уязвимостей.

Теперь, когда общественность осведомлена о реальной угрозе, разработчики и пользователи должны тщательно проверять программное обеспечение. Если оно взаимодействует с изображениями WebP, его необходимо обновить до версии с исправлениями.