Недосказанность Google привела к нераскрытию уязвимости в тысячи приложениях.
Google представила новые подробности о критической уязвимости, которая затрагивает тысячи отдельных приложений и программных фреймворков. Предыдущая версия о недостатке давала ошибочное представление о том, что угроза касается только браузера Chrome .
Уязвимость происходит из библиотеки кода libwebp, созданной Google в 2010 году для отображения WebP-изображений. Формат позволял сократить размер файлов на 26% по сравнению с PNG. Libwebp интегрирована практически в каждое приложение, операционную систему или другую библиотеку кода, которая отображает WebP-изображения, в частности, в фреймворк Electron, используемый в Chrome и многих других приложениях для настольных и мобильных устройств.
2 недели назад Google Для просмотра ссылки Войдиили Зарегистрируйся ( Для просмотра ссылки Войди или Зарегистрируйся CVSS: 8.8). Описание ошибки указывало Chrome как затрагиваемое ПО, хотя уязвимым был любой код, использующий libwebp. Критики предупредили, что недоразумение со стороны Google может привести к задержке в устранении уязвимости.
На этой неделе Google Для просмотра ссылки Войдиили Зарегистрируйся новую ошибку Для просмотра ссылки Войди или Зарегистрируйся CVSS: 10, указав, что недостаток затрагивает библиотеку libwebp. Кроме того, уровень опасности уязвимости был повышен с 8,8 до 10. В новом раскрытии Google предоставлено гораздо больше деталей. Если ранее уязвимость описывалась как «переполнение буфера в WebP в Google Chrome», то теперь добавлено, что при использовании специально созданного файла WebP libwebp может записывать данные за пределами буфера.
Неполнота первого CVE от Google не просто академическая ошибка. Более двух недель спустя множество ПО остается без исправлений. Независимо от того, отслеживается ли уязвимость как CVE-2023-4863 или CVE-2023-5129, уязвимость в libwebp является опасной. Пользователи должны удостовериться, что используемые версии Electron соответствуют v22.3.24, v24.8.3 или v25.8.1.
Помимо Google с проблемой с WebP-изображениями столкнулась и Apple , которая также 2 недели назад Apple Для просмотра ссылки Войдиили Зарегистрируйся , что злоумышленники активно используют уязвимость в iOS для установки шпионского ПО Pegasus . Атаки осуществлялись без взаимодействия с пользователем ( Zero-Click ): достаточно было получить звонок или сообщение на iPhone, чтобы устройство было заражено.
Apple указала, что уязвимость, отслеживаемая как Для просмотра ссылки Войдиили Зарегистрируйся (CVSS: 7.8) и Для просмотра ссылки Войди или Зарегистрируйся , происходит из ошибки переполнения буфера в ImageIO – фреймворке, который позволяет приложениям читать и записывать большинство форматов изображений, включая WebP.
Исследователи безопасности предположили, что Для просмотра ссылки Войдиили Зарегистрируйся , и раскритиковали Apple, Google и Citizen Lab за то, что они не координировали свои действия и не указали на общий источник уязвимости, предпочитая использовать разные обозначения CVE. Исследователи из компании безопасности Rezillion подтвердили, что обе уязвимости действительно происходят от одной и той же ошибки в библиотеке кода libwebp, которая используется для обработки изображений WebP.
Google представила новые подробности о критической уязвимости, которая затрагивает тысячи отдельных приложений и программных фреймворков. Предыдущая версия о недостатке давала ошибочное представление о том, что угроза касается только браузера Chrome .
Уязвимость происходит из библиотеки кода libwebp, созданной Google в 2010 году для отображения WebP-изображений. Формат позволял сократить размер файлов на 26% по сравнению с PNG. Libwebp интегрирована практически в каждое приложение, операционную систему или другую библиотеку кода, которая отображает WebP-изображения, в частности, в фреймворк Electron, используемый в Chrome и многих других приложениях для настольных и мобильных устройств.
2 недели назад Google Для просмотра ссылки Войди
На этой неделе Google Для просмотра ссылки Войди
Неполнота первого CVE от Google не просто академическая ошибка. Более двух недель спустя множество ПО остается без исправлений. Независимо от того, отслеживается ли уязвимость как CVE-2023-4863 или CVE-2023-5129, уязвимость в libwebp является опасной. Пользователи должны удостовериться, что используемые версии Electron соответствуют v22.3.24, v24.8.3 или v25.8.1.
Помимо Google с проблемой с WebP-изображениями столкнулась и Apple , которая также 2 недели назад Apple Для просмотра ссылки Войди
Apple указала, что уязвимость, отслеживаемая как Для просмотра ссылки Войди
Исследователи безопасности предположили, что Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru