Недосказанность Google привела к нераскрытию уязвимости в тысячи приложениях.
представила новые подробности о критической уязвимости, которая затрагивает тысячи отдельных приложений и программных фреймворков. Предыдущая версия о недостатке давала ошибочное представление о том, что угроза касается только браузера .
Уязвимость происходит из библиотеки кода libwebp, созданной Google в 2010 году для отображения WebP-изображений. Формат позволял сократить размер файлов на 26% по сравнению с PNG. Libwebp интегрирована практически в каждое приложение, операционную систему или другую библиотеку кода, которая отображает WebP-изображения, в частности, в фреймворк Electron, используемый в Chrome и многих других приложениях для настольных и мобильных устройств.
2 недели назад Google ( CVSS: 8.8). Описание ошибки указывало Chrome как затрагиваемое ПО, хотя уязвимым был любой код, использующий libwebp. Критики предупредили, что недоразумение со стороны Google может привести к задержке в устранении уязвимости.
На этой неделе Google новую ошибку CVSS: 10, указав, что недостаток затрагивает библиотеку libwebp. Кроме того, уровень опасности уязвимости был повышен с 8,8 до 10. В новом раскрытии Google предоставлено гораздо больше деталей. Если ранее описывалась как «переполнение буфера в WebP в Google Chrome», то теперь добавлено, что при использовании специально созданного файла WebP libwebp может записывать данные за пределами буфера.
Неполнота первого CVE от Google не просто академическая ошибка. Более двух недель спустя множество ПО остается без исправлений. Независимо от того, отслеживается ли уязвимость как CVE-2023-4863 или CVE-2023-5129, уязвимость в libwebp является опасной. Пользователи должны удостовериться, что используемые версии Electron соответствуют v22.3.24, v24.8.3 или v25.8.1.
Помимо Google с проблемой с WebP-изображениями столкнулась и , которая также 2 недели назад Apple , что злоумышленники активно используют уязвимость в iOS для установки шпионского ПО . Атаки осуществлялись без взаимодействия с пользователем (): достаточно было получить звонок или сообщение на iPhone, чтобы устройство было заражено.
Apple указала, что уязвимость, отслеживаемая как (CVSS: 7.8) и , происходит из ошибки переполнения буфера в ImageIO – фреймворке, который позволяет приложениям читать и записывать большинство форматов изображений, включая WebP.
Исследователи безопасности предположили, что , и раскритиковали Apple, Google и Citizen Lab за то, что они не координировали свои действия и не указали на общий источник уязвимости, предпочитая использовать разные обозначения CVE. Исследователи из компании безопасности Rezillion подтвердили, что обе уязвимости действительно происходят от одной и той же ошибки в библиотеке кода libwebp, которая используется для обработки изображений WebP.
Подробнее:
представила новые подробности о критической уязвимости, которая затрагивает тысячи отдельных приложений и программных фреймворков. Предыдущая версия о недостатке давала ошибочное представление о том, что угроза касается только браузера .
Уязвимость происходит из библиотеки кода libwebp, созданной Google в 2010 году для отображения WebP-изображений. Формат позволял сократить размер файлов на 26% по сравнению с PNG. Libwebp интегрирована практически в каждое приложение, операционную систему или другую библиотеку кода, которая отображает WebP-изображения, в частности, в фреймворк Electron, используемый в Chrome и многих других приложениях для настольных и мобильных устройств.
2 недели назад Google ( CVSS: 8.8). Описание ошибки указывало Chrome как затрагиваемое ПО, хотя уязвимым был любой код, использующий libwebp. Критики предупредили, что недоразумение со стороны Google может привести к задержке в устранении уязвимости.
На этой неделе Google новую ошибку CVSS: 10, указав, что недостаток затрагивает библиотеку libwebp. Кроме того, уровень опасности уязвимости был повышен с 8,8 до 10. В новом раскрытии Google предоставлено гораздо больше деталей. Если ранее описывалась как «переполнение буфера в WebP в Google Chrome», то теперь добавлено, что при использовании специально созданного файла WebP libwebp может записывать данные за пределами буфера.
Неполнота первого CVE от Google не просто академическая ошибка. Более двух недель спустя множество ПО остается без исправлений. Независимо от того, отслеживается ли уязвимость как CVE-2023-4863 или CVE-2023-5129, уязвимость в libwebp является опасной. Пользователи должны удостовериться, что используемые версии Electron соответствуют v22.3.24, v24.8.3 или v25.8.1.
Помимо Google с проблемой с WebP-изображениями столкнулась и , которая также 2 недели назад Apple , что злоумышленники активно используют уязвимость в iOS для установки шпионского ПО . Атаки осуществлялись без взаимодействия с пользователем (): достаточно было получить звонок или сообщение на iPhone, чтобы устройство было заражено.
Apple указала, что уязвимость, отслеживаемая как (CVSS: 7.8) и , происходит из ошибки переполнения буфера в ImageIO – фреймворке, который позволяет приложениям читать и записывать большинство форматов изображений, включая WebP.
Исследователи безопасности предположили, что , и раскритиковали Apple, Google и Citizen Lab за то, что они не координировали свои действия и не указали на общий источник уязвимости, предпочитая использовать разные обозначения CVE. Исследователи из компании безопасности Rezillion подтвердили, что обе уязвимости действительно происходят от одной и той же ошибки в библиотеке кода libwebp, которая используется для обработки изображений WebP.
Подробнее:
