O Google atribui nova classificação máxima de CVE para um bug no libwebp explorado em ataques
27 de Setembro de 2023

O Google atribuiu um novo ID CVE ( CVE-2023-5129 ) a uma vulnerabilidade de segurança libwebp explorada como um zero-day em ataques e corrigida duas semanas atrás.

Inicialmente, a empresa divulgou a falha como uma fraqueza do Chrome, rastreada como CVE-2023-4863 , em vez de atribui-la à biblioteca de código aberto libwebp usada para codificar e decodificar imagens no formato WebP.

Esse bug zero-day foi relatado conjuntamente pela Apple Security Engineering and Architecture (SEAR) e pelo Citizen Lab da Escola Munk da Universidade de Toronto na quarta-feira, 6 de setembro, e corrigido pelo Google menos de uma semana depois.

Os pesquisadores de segurança do Citizen Lab têm um histórico estabelecido de detecção e revelação de zero-days que foram abusados ​​em campanhas de spyware direcionadas, geralmente vinculadas a atores de ameaças patrocinados pelo estado que visam principalmente indivíduos de alto risco, como jornalistas e políticos de oposição.

A decisão de rotulá-lo como um bug do Chrome causou confusão dentro da comunidade de segurança cibernética, levantando perguntas sobre a escolha do Google de classificá-lo como um problema do Google Chrome em vez de identificá-lo como uma falha no libwebp.

O fundador da consultoria de segurança, Ben Hawkes (que anteriormente liderou a equipe do Projeto Zero do Google), também vinculou o CVE-2023-4863 à vulnerabilidade CVE-2023-41064 abordada pela Apple em 7 de setembro e abusada como parte de uma cadeia de exploits zero-click do iMessage (apelidada de BLASTPASS) para infectar totalmente iPhones corrigidos com o spyware comercial Pegasus do Grupo NSO.

No entanto, ele agora atribuiu outro ID CVE, o CVE-2023-5129 , marcando-o como um problema crítico no libwebp com uma classificação máxima de gravidade 10/10.

Essa mudança tem implicações significativas para outros projetos que usam a biblioteca de código aberto libwebp.

Agora oficialmente reconhecido como uma falha do libwebp, envolve um estouro de buffer heap no WebP, afetando as versões do Google Chrome anteriores a 116.0.5845.187.

Essa vulnerabilidade reside no algoritmo de codificação Huffman usado pelo libwebp para compressão sem perdas e permite que os invasores executem gravações de memória fora dos limites usando páginas HTML criadas de forma maliciosa.

Esse tipo de exploração pode ter consequências graves, desde falhas até a execução arbitrária de código e acesso não autorizado a informações sensíveis.

A reclassificação do CVE-2023-5129 como uma vulnerabilidade libwebp é particularmente importante devido ao fato de inicialmente ter passado despercebida como uma possível ameaça de segurança para inúmeros projetos que usam libwebp, incluindo 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera, e os navegadores web nativos do Android.

A classificação crítica revisada realça a importância de tratar prontamente a vulnerabilidade de segurança (agora rastreada sob vários IDs CVE com classificações de gravidade diferentes) em todas essas plataformas para garantir a segurança dos dados dos usuários.

Um porta-voz do Google não estava imediatamente disponível para comentar quando contatado pelo BleepingComputer mais cedo hoje.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...