Ложь Google была разоблачена, и компании пришлось раскрыть все карты

Google представила новые подробности о критической уязвимости, которая затрагивает тысячи отдельных приложений и программных фреймворков. Предыдущая версия о недостатке давала ошибочное представление о том, что угроза касается только браузера Chrome.

Уязвимость происходит из библиотеки кода libwebp, созданной Google в 2010 году для отображения WebP-изображений. Формат позволял сократить размер файлов на 26% по сравнению с PNG. Libwebp интегрирована практически в каждое приложение, операционную систему или другую библиотеку кода, которая отображает WebP-изображения, в частности, в фреймворк Electron, используемый в Chrome и многих других приложениях для настольных и мобильных устройств.

2 недели назад Google сообщила об уязвимости переполнения буфера в WebP в Chrome ( CVE-2023-4863 CVSS: 8.8). Описание ошибки указывало Chrome как затрагиваемое ПО, хотя уязвимым был любой код, использующий libwebp. Критики предупредили, что недоразумение со стороны Google может привести к задержке в устранении уязвимости.

На этой неделе Google раскрыла новую ошибку CVE-2023-5129 CVSS: 10, указав, что недостаток затрагивает библиотеку libwebp. Кроме того, уровень опасности уязвимости был повышен с 8,8 до 10. В новом раскрытии Google предоставлено гораздо больше деталей. Если ранее уязвимость описывалась как «переполнение буфера в WebP в Google Chrome», то теперь добавлено, что при использовании специально созданного файла WebP libwebp может записывать данные за пределами буфера.

Неполнота первого CVE от Google не просто академическая ошибка. Более двух недель спустя множество ПО остается без исправлений. Независимо от того, отслеживается ли уязвимость как CVE-2023-4863 или CVE-2023-5129, уязвимость в libwebp является опасной. Пользователи должны удостовериться, что используемые версии Electron соответствуют v22.3.24, v24.8.3 или v25.8.1.

Помимо Google с проблемой с WebP-изображениями столкнулась и Apple, которая также 2 недели назад Apple предупредила о том , что злоумышленники активно используют уязвимость в iOS для установки шпионского ПО Pegasus. Атаки осуществлялись без взаимодействия с пользователем (Zero-Click): достаточно было получить звонок или сообщение на iPhone, чтобы устройство было заражено.

Apple указала, что уязвимость, отслеживаемая как CVE-2023-41064 (CVSS: 7.8) и уже исправленная на данный момент , происходит из ошибки переполнения буфера в ImageIO – фреймворке, который позволяет приложениям читать и записывать большинство форматов изображений, включая WebP.

Исследователи безопасности предположили, что обе уязвимости могут иметь общий источник , и раскритиковали Apple, Google и Citizen Lab за то, что они не координировали свои действия и не указали на общий источник уязвимости, предпочитая использовать разные обозначения CVE. Исследователи из компании безопасности Rezillion подтвердили, что обе уязвимости действительно происходят от одной и той же ошибки в библиотеке кода libwebp, которая используется для обработки изображений WebP.