Гетти Изображения
Неполная информация, включенная в недавние отчеты Apple и Microsoft о критических уязвимостях нулевого дня, активно эксплуатируемых в их продуктах, создала «огромное слепое пятно», из-за которого большое количество предложений других разработчиков остаются не исправленными, заявили исследователи в четверг.
Две недели назад Apple сообщила, что злоумышленники активно использовали критическую уязвимость в iOS, чтобы установить шпионское шпионское ПО, известное как Pegasus. В атаках использовался метод нулевого щелчка, то есть они не требовали никакого взаимодействия со стороны целей. Просто приняв звонок или сообщение на iPhone этого было достаточно, чтобы заразиться Pegasus, одним из самых передовых в мире известных вредоносных программ.
“Огромное слепое пятно”
Apple заявила, что уязвимость, отслеживаемая как CVE-2023-41064, возникла из-за ошибки переполнения буфера в ImageIO, собственной платформе, которая позволяет приложениям читать и записывать большинство форматов файлов изображений, включая один, известный как WebP. Apple приписала открытие «нулевого дня» Citizen Lab, исследовательской группе в Школе Мунка при Университете Торонто, которая следит за атаками национальных государств, нацеленными на диссидентов и другие группы риска.
Четыре дня спустя, Google сообщила о критической уязвимости в своем браузере Chrome. Компания заявила, что уязвимость заключалась в так называемом переполнении буфера кучи, которое присутствовало в WebP. Google Далее предупредил, что существует эксплойт для этой уязвимости. Google сообщил, что об уязвимости, обозначенной как CVE-2023-4863, сообщили команда Apple по разработке и архитектуре безопасности и Citizen Lab.
Быстро возникли предположения, в том числе и у меня, о том, что большое количество сходств убедительно свидетельствует о том, что основная ошибка для обеих уязвимостей одна и та же. В четверг исследователи из охранной компании Rezillion опубликовали доказательства, которые, по их словам, делают это «весьма вероятным», что оба действительно возникли из-за одной и той же ошибки, особенно в libwebp, библиотеке кода, которую приложения, операционные системы и другие библиотеки кода включают в себя для обработки изображений WebP.
Вместо Apple, GoogleПо словам исследователей, и Citizen Lab, координируя и точно сообщая об общем происхождении уязвимости, они решили использовать отдельное обозначение CVE. Исследователи пришли к выводу, что «миллионы различных приложений» останутся уязвимыми до тех пор, пока они тоже не установят исправление libwebp. Это, в свою очередь, по их словам, не позволяет разработчикам автоматизированных систем, используемых для отслеживания известных уязвимостей в своих предложениях, обнаружить критическую уязвимость, которая активно эксплуатируется.
«Поскольку уязвимость относится к всеобъемлющему продукту, содержащему уязвимую зависимость, уязвимость будет отмечена сканерами уязвимостей только для этих конкретных продуктов», — пишут исследователи Rezillion Офри Узан и Йотам Перкал. «Это создает ОГРОМНОЕ слепое пятно для организаций, слепо полагающихся на результаты своего сканера уязвимостей».
Google также подвергся критике за ограничение области действия CVE-2023-4863 Chrome, а не libwebp. Далее в официальном описании уязвимость описана как переполнение буфера кучи в WebP в Google Хром.
В электронном письме Google Представитель написал: «Многие платформы реализуют WebP по-разному. У нас нет никаких подробностей о том, как ошибка повлияет на другие продукты. Нашей целью было как можно скорее исправить ситуацию для сообщества Chromium и затронуть пользователей Chromium. Программным продуктам рекомендуется отслеживать исходные библиотеки, от которых они зависят, чтобы получать исправления и улучшения безопасности».
Представитель отметил, что формат изображения WebP упоминается в его раскрытии и на официальной странице CVE. Представитель не объяснил, почему официальные CVE и GoogleВ заявлении не упоминалась широко используемая библиотека libwebp или вероятность того, что другое программное обеспечение также может оказаться уязвимым.
Google представитель не ответил на вопрос, связаны ли CVE-2023-4863 и CVE-2023-41064 с одной и той же уязвимостью. Citizen Lab и Apple не ответили на вопросы, отправленные по электронной почте, до того, как эта история стала известна.
