Apple та Google приховали деталі вразливостей: мільйони пристроїв у небезпеці

Критичні вразливості у системах компаній поставили під загрозу продукти інших розробників.

Згідно з новим звітом ІБ-компанії Rezillion, у нещодавніх повідомленнях Apple та Google була надана неповна інформація про критичні вразливості, які активно експлуатуються в їх продуктах. Така недомовленість створила величезну сліпу пляму, через яку велика кількість програмних продуктів інших розробників залишається без виправлень.

2 тижня тому Apple попередила про те , що зловмисники активно використовують вразливість в iOS для встановлення шпигунського ПЗ Pegasus. Атаки здійснювалися без взаємодії з користувачем ( Zero-Click ): достатньо було отримати дзвінок або повідомлення на iPhone, щоб пристрій був заражений.

Apple вказала, що вразливість, що відстежується як CVE-2023-41064 (CVSS: 7.8) і вже виправлена ​​на даний момент , відбувається з помилки переповнення буфера в ImageIO – фреймворку, який дозволяє програмам читати та записувати більшість форматів зображень, включаючи WebP. Відкриття цієї вразливості було приписано Citizen Lab.

Через кілька днів Google також повідомила про критичну вразливість у браузері Chrome , пов'язану з переповненням буфера в WebP. Уразливість, позначена як CVE-2023-4863 (CVSS: 8.8), була розкрита командою безпеки Apple та Citizen Lab.

Швидко з'явилися здогади про те, що обидві вразливості можуть мати спільне джерело. Дослідники з компанії безпеки Rezillion підтвердили, що обидві вразливості дійсно походять від однієї і тієї ж помилки в бібліотеці коду libwebp, яка використовується для обробки зображень WebP.

Дослідники розкритикували Apple, Google та Citizen Lab за те, що вони не координували свої дії і не вказали на спільне джерело вразливості, воліючи використовувати різні позначення CVE. Це означає, що "мільйони різних програм" залишаться вразливими, доки не буде застосовано виправлення для libwebp. Google також піддалася критиці за обмеження опису вразливості тільки браузером Chrome, не згадуючи бібліотеку libwebp, яка, як передбачається, також вразлива.

Список програмних продуктів, які інтегрують libwebp і ще не отримали виправлення, включає такі популярні програми, як Microsoft Teams і Visual Studio Code, а також безліч інших програм на базі фреймворку Electron.

Однак багато програмних продуктів вже були оновлені для усунення цієї вразливості. Серед них:

• Google Chrome (версії для Mac та Linux 116.0.5845.187 та для Windows 116.0.5845.187/.188);
• Mozilla (Firefox версії 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1), Thunderbird (версії 102.15.1 та 115.2.2);
• Brave Browser (версія 1.57.64);
• Microsoft Edge (версії 109.0.1518.140, 116.0.1938.81 та 117.0.2045.31);
• Tor Browser (версія 12.5.4);
• Opera (версія 102.0.4880.46);
• Vivaldi (версія 6.2.3105.47);
• Операційні системи Debian , Ubuntu , Alpine , Gentoo , RedHat , SUSE , Oracle та Amazon Linux .

Інше ПЗ:

• Zulip Server – версія 7.4;
  
• Electron – версії 22.3.24, 24.8.3, 25.8.1, 26.2.1 і 27.0.0-beta.2;
• Xplan – версія 23.9.289;
• Signal-Desktop – версія 6.30.2;
• Honeyview – версія 5.51.

Rezillion також вказала на те, що Apple ImageIO використовує libwebp і посилається на певні файли, які спричинили вразливість CVE-2023-4863. Якщо CVE охоплює ту саму основну вразливість, команди, які беруть участь у її виявленні, повинні були координуватися між собою і ясно вказати на походження помилки. Без коментарів від Citizen Lab та Apple складно точно визначити відносини між уразливістю, розкритими Google та Apple.

Дослідники підкреслили, що неповні розкриття створюють серйозні проблеми для розробників, які намагаються визначити, чи вразливі їх продукти. Експерти також попередили про ризик отримання помилкових результатів під час пошуку вразливостей.

Тепер, коли громадськість обізнана з реальною загрозою, розробники та користувачі повинні ретельно перевіряти програмне забезпечення. Якщо воно взаємодіє із зображеннями WebP, його необхідно оновити до версії з виправленнями.