Google nadało nowy numer identyfikacyjny CVE (CVE-2023-5129) dla niedawno odkrytej luki w bibliotece libwebp, która była wykorzystywana w atakach jako dzień zero i została naprawiona zaledwie dwa tygodnie temu.
Początkowo firma ujawniła tę lukę jako słabość w przeglądarce Chrome, oznaczając ją jako CVE-2023-4863, zamiast przypisywać ją do libwebp – otwartoźródowej biblioteki używanej do kodowania i dekodowania obrazów w formacie WebP.
Ten błąd typu zero-day został zgłoszony wspólnie przez Apple Security Engineering and Architecture (SEAR) oraz Citizen Lab z Uniwersytetu w Toronto w dniu 6 września i został naprawiony przez Google niecały tydzień później.
Badacze ds. bezpieczeństwa w Citizen Lab są znani ze swojej umiejętności wykrywania i ujawniania nadużyć typu zero-day w kampaniach szpiegowskich, często związanych z sponsorowanymi przez państwo grupami zagrożeń, które głównie celują w osoby o wysokim ryzyku, takie jak dziennikarze i politycy opozycji.
Decyzja o zaklasyfikowaniu tego problemu jako słabości przeglądarki Chrome wywołała zamieszanie w społeczności zajmującej się cyberbezpieczeństwem i podniosła pytania dotyczące wyboru Google, które sklasyfikowało go jako problem z przeglądarką Google Chrome, zamiast jako lukę w libwebp.
Biblioteka open source libwebp, która jest teraz uważana za źródło tego problemu, jest używana do kompresji i dekompresji obrazów w formacie WebP. Obecna wada libwebp powoduje przepełnienie bufora sterty w przypadku plików WebP, co ma wpływ na przeglądarki Google Chrome w wersjach starszych niż 116.0.5845.187.
Ta luka wynika z algorytmu kodowania Huffmana wykorzystywanego przez libwebp do bezstratnej kompresji i pozwala atakującym na wykonywanie zapisów poza dopuszczalnym zakresem przy użyciu specjalnie spreparowanych stron HTML.
Typ tego exploitu może prowadzić do poważnych konsekwencji, od awarii po pełnej kontroli nad systemem oraz nieautoryzowanego dostępu do poufnych informacji.
CVE (Common Vulnerabilities and Exposures) to standardowy system identyfikacji i numeracji luk w zabezpieczeniach, który ma na celu ułatwienie identyfikacji i śledzenia różnych podatności w oprogramowaniu i systemach informatycznych.
