- 20,198
- 46
- 8 Ноя 2022
Критические уязвимости в системах компаний поставили под угрозы продукты других разработчиков.
Согласно новому отчёту ИБ-компании Rezillion, в недавних сообщениях Apple и Google была предоставлена неполная информация о критических уязвимостях, которые активно эксплуатируются в их продуктах. Такая недосказанность создала огромное слепое пятно, из-за которого большое количество программных продуктов других разработчиков остается без исправлений.
2 недели назад Apple предупредила о том , что злоумышленники активно используют уязвимость в iOS для установки шпионского ПО Pegasus. Атаки осуществлялись без взаимодействия с пользователем ( Zero-Click ): достаточно было получить звонок или сообщение на iPhone, чтобы устройство было заражено.
Apple указала, что уязвимость, отслеживаемая как CVE-2023-41064 (CVSS: 7.8) и уже исправленная на данный момент , происходит из ошибки переполнения буфера в ImageIO – фреймворке, который позволяет приложениям читать и записывать большинство форматов изображений, включая WebP. Открытие этой уязвимости было приписано Citizen Lab .
Через несколько дней Google также сообщила о критической уязвимости в браузере Chrome , связанной с переполнением буфера в WebP. Уязвимость, обозначенная как CVE-2023-4863 (CVSS: 8.8), была раскрыта командой безопасности Apple и Citizen Lab.
Быстро возникли догадки о том, что обе уязвимости могут иметь общий источник. Исследователи из компании безопасности Rezillion подтвердили, что обе уязвимости действительно происходят от одной и той же ошибки в библиотеке кода libwebp, которая используется для обработки изображений WebP.
Исследователи раскритиковали Apple, Google и Citizen Lab за то, что они не координировали свои действия и не указали на общий источник уязвимости, предпочитая использовать разные обозначения CVE. Это означает, что «миллионы различных приложений» останутся уязвимыми, пока не будет применено исправление для libwebp. <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Google также подверглась критике за ограничение описания уязвимости только браузером Chrome, не упоминая библиотеку libwebp, которая, как предполагается, также уязвима.</span>
Список программных продуктов, которые интегрируют libwebp и еще не получили исправления, включает такие популярные программы, как Microsoft Teams и Visual Studio Code, а также множество других приложений на базе фреймворка Electron .
Однако многие программные продукты уже были обновлены для устранения этой уязвимости. Среди них:
Исследователи подчеркнули, что неполные раскрытия создают серьезные проблемы для разработчиков, пытающихся определить, уязвимы ли их продукты. Эксперты также предупредили о риске получения ложных результатов при поиске уязвимостей.
Теперь, когда общественность осведомлена о реальной угрозе, разработчики и пользователи должны тщательно проверять программное обеспечение. Если оно взаимодействует с изображениями WebP, его необходимо обновить до версии с исправлениями.
Согласно новому отчёту ИБ-компании Rezillion, в недавних сообщениях Apple и Google была предоставлена неполная информация о критических уязвимостях, которые активно эксплуатируются в их продуктах. Такая недосказанность создала огромное слепое пятно, из-за которого большое количество программных продуктов других разработчиков остается без исправлений.
2 недели назад Apple предупредила о том , что злоумышленники активно используют уязвимость в iOS для установки шпионского ПО Pegasus. Атаки осуществлялись без взаимодействия с пользователем ( Zero-Click ): достаточно было получить звонок или сообщение на iPhone, чтобы устройство было заражено.
Apple указала, что уязвимость, отслеживаемая как CVE-2023-41064 (CVSS: 7.8) и уже исправленная на данный момент , происходит из ошибки переполнения буфера в ImageIO – фреймворке, который позволяет приложениям читать и записывать большинство форматов изображений, включая WebP. Открытие этой уязвимости было приписано Citizen Lab .
Через несколько дней Google также сообщила о критической уязвимости в браузере Chrome , связанной с переполнением буфера в WebP. Уязвимость, обозначенная как CVE-2023-4863 (CVSS: 8.8), была раскрыта командой безопасности Apple и Citizen Lab.
Быстро возникли догадки о том, что обе уязвимости могут иметь общий источник. Исследователи из компании безопасности Rezillion подтвердили, что обе уязвимости действительно происходят от одной и той же ошибки в библиотеке кода libwebp, которая используется для обработки изображений WebP.
Исследователи раскритиковали Apple, Google и Citizen Lab за то, что они не координировали свои действия и не указали на общий источник уязвимости, предпочитая использовать разные обозначения CVE. Это означает, что «миллионы различных приложений» останутся уязвимыми, пока не будет применено исправление для libwebp. <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Google также подверглась критике за ограничение описания уязвимости только браузером Chrome, не упоминая библиотеку libwebp, которая, как предполагается, также уязвима.</span>
Список программных продуктов, которые интегрируют libwebp и еще не получили исправления, включает такие популярные программы, как Microsoft Teams и Visual Studio Code, а также множество других приложений на базе фреймворка Electron .
Однако многие программные продукты уже были обновлены для устранения этой уязвимости. Среди них:
- Google Chrome <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> (версии для Mac и Linux 116.0.5845.187 и для Windows 116.0.5845.187/.188);</span>
- Mozilla <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> (Firefox версии 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1), Thunderbird (версии 102.15.1 и 115.2.2);</span>
- Brave Browser <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> (версия 1.57.64);</span>
- Microsoft Edge <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> (версии 109.0.1518.140, 116.0.1938.81 и 117.0.2045.31);</span>
- Tor Browser <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> (версия 12.5.4);</span>
- Opera <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> (версия 102.0.4880.46);</span>
- Vivaldi <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> (версия 6.2.3105.47);</span>
- Операционные системы Debian <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">, </span> Ubuntu <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">, </span> Alpine <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">, </span> Gentoo <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">, </span> RedHat <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">, </span> SUSE <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">, </span> Oracle <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> и </span> Amazon Linux <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">.</span>
- Zulip Server <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> – version 7.4;
</span> - Electron <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> – versions 22.3.24, 24.8.3, 25.8.1, 26.2.1 and 27.0.0-beta.2;</span>
- Xplan <span style="color: #161616; font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> – version 23.9.289;</span>
- Signal-Desktop <span style="color: #161616; font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> – version 6.30.2;</span>
- Honeyview <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> – version 5.51.</span>
Исследователи подчеркнули, что неполные раскрытия создают серьезные проблемы для разработчиков, пытающихся определить, уязвимы ли их продукты. Эксперты также предупредили о риске получения ложных результатов при поиске уязвимостей.
Теперь, когда общественность осведомлена о реальной угрозе, разработчики и пользователи должны тщательно проверять программное обеспечение. Если оно взаимодействует с изображениями WebP, его необходимо обновить до версии с исправлениями.
- Источник новости
- www.securitylab.ru
