O Google atribuiu um novo ID CVE (
CVE-2023-5129
) a uma vulnerabilidade de segurança libwebp explorada como um zero-day em ataques e corrigida duas semanas atrás.
Inicialmente, a empresa divulgou a falha como uma fraqueza do Chrome, rastreada como
CVE-2023-4863
, em vez de atribui-la à biblioteca de código aberto libwebp usada para codificar e decodificar imagens no formato WebP.
Esse bug zero-day foi relatado conjuntamente pela Apple Security Engineering and Architecture (SEAR) e pelo Citizen Lab da Escola Munk da Universidade de Toronto na quarta-feira, 6 de setembro, e corrigido pelo Google menos de uma semana depois.
Os pesquisadores de segurança do Citizen Lab têm um histórico estabelecido de detecção e revelação de zero-days que foram abusados em campanhas de spyware direcionadas, geralmente vinculadas a atores de ameaças patrocinados pelo estado que visam principalmente indivíduos de alto risco, como jornalistas e políticos de oposição.
A decisão de rotulá-lo como um bug do Chrome causou confusão dentro da comunidade de segurança cibernética, levantando perguntas sobre a escolha do Google de classificá-lo como um problema do Google Chrome em vez de identificá-lo como uma falha no libwebp.
O fundador da consultoria de segurança, Ben Hawkes (que anteriormente liderou a equipe do Projeto Zero do Google), também vinculou o
CVE-2023-4863
à vulnerabilidade
CVE-2023-41064
abordada pela Apple em 7 de setembro e abusada como parte de uma cadeia de exploits zero-click do iMessage (apelidada de BLASTPASS) para infectar totalmente iPhones corrigidos com o spyware comercial Pegasus do Grupo NSO.
No entanto, ele agora atribuiu outro ID CVE, o
CVE-2023-5129
, marcando-o como um problema crítico no libwebp com uma classificação máxima de gravidade 10/10.
Essa mudança tem implicações significativas para outros projetos que usam a biblioteca de código aberto libwebp.
Agora oficialmente reconhecido como uma falha do libwebp, envolve um estouro de buffer heap no WebP, afetando as versões do Google Chrome anteriores a 116.0.5845.187.
Essa vulnerabilidade reside no algoritmo de codificação Huffman usado pelo libwebp para compressão sem perdas e permite que os invasores executem gravações de memória fora dos limites usando páginas HTML criadas de forma maliciosa.
Esse tipo de exploração pode ter consequências graves, desde falhas até a execução arbitrária de código e acesso não autorizado a informações sensíveis.
A reclassificação do
CVE-2023-5129
como uma vulnerabilidade libwebp é particularmente importante devido ao fato de inicialmente ter passado despercebida como uma possível ameaça de segurança para inúmeros projetos que usam libwebp, incluindo 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera, e os navegadores web nativos do Android.
A classificação crítica revisada realça a importância de tratar prontamente a vulnerabilidade de segurança (agora rastreada sob vários IDs CVE com classificações de gravidade diferentes) em todas essas plataformas para garantir a segurança dos dados dos usuários.
Um porta-voz do Google não estava imediatamente disponível para comentar quando contatado pelo BleepingComputer mais cedo hoje.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...