Apple и Google поставили под удар безопасность миллионов приложений

Apple и Google обвинили в огромной проблеме безопасности миллионов приложений. Фото: СС0

Из-за замалчивания информации большое количество предложений других разработчиков остаются не исправленными, заявили исследователи в четверг.

Две недели назад Apple сообщила, что злоумышленники активно использовали критическую уязвимость в iOS, чтобы установить шпионское шпионское ПО, известное как Pegasus. В атаках использовался метод «нулевого клика», то есть зловред не требовал никакого взаимодействия со стороны жертв. Простого звонка или текстового сообщения на iPhone было достаточно, чтобы заразить устройство.

В Apple заявили, что уязвимость CVE-2023-41064, возникла из-за ошибки переполнения буфера в ImageIO, собственной платформе, которая позволяет приложениям читать и записывать большинство форматов файлов изображений, включая один, известный как WebP.

В Apple приписали открытие уязвимости «нулевого дня» Citizen Lab, исследовательской группе в Школе Мунка Университета Торонто.

Четыре дня спустя в Google сообщили о критической уязвимости в своем браузере Chrome. Компания заявила, что уязвимость заключалась в так называемом переполнении буфера, которое присутствовало в WebP. Далее в Google предупредили, что существует эксплойт для этой уязвимости. Специалисты компании сообщили, что информацией об уязвимости CVE-2023-4863 поделилась  команда Apple по разработке и архитектуре безопасности и Citizen Lab.

Быстро возникли предположения о том, что основная ошибка для обеих уязвимостей была одной и той же. В четверг исследователи из охранной компании Rezillion опубликовали доказательства, которые, по их словам, делают это «весьма вероятным». Возможно, обе уязвимости возникли из-за одной и той же ошибки,  в libwebp, библиотеке кода, которую приложения, операционные системы и другие библиотеки кода включают в себя для обработки изображений WebP.

По словам исследователей, вместо того, чтобы Apple, Google и Citizen Lab координировали свои действия и точно сообщали об общем происхождении уязвимости, они решили использовать отдельное обозначение CVE.

Исследователи пришли к выводу, что «миллионы различных приложений» останутся уязвимыми до тех пор, пока они тоже не установят исправление libwebp. Это, в свою очередь, по их словам, не позволяет разработчикам автоматизированных систем, используемых для отслеживания известных уязвимостей в своих предложениях, обнаружить критическую уязвимость, которая активно эксплуатируется.

Из сообщения исследователей безопасности Rezillion Офри Узан и Йотама Перкаля:

«Поскольку уязвимость относится к всеобъемлющему продукту, содержащему уязвимую зависимость, она будет отмечена сканерами только для этих конкретных продуктов. Это создает ОГРОМНОЕ слепое пятно для организаций, слепо полагающихся на результаты своего сканера уязвимостей.»

Компания Google также подверглась критике за ограничение области действия CVE-2023-4863 Chrome, а не libwebp.

В  Google попытались снять с себя ответственность за происходящее.

Из сообщения Google:

«Многие платформы реализуют WebP по-разному. У нас нет никаких подробностей о том, как ошибка повлияет на другие продукты. Нашей целью было как можно скорее исправить ситуацию для сообщества Chromium и затронуть пользователей Chromium. Программным продуктам рекомендуется отслеживать исходные библиотеки, от которых они зависят, чтобы получать исправления и улучшения безопасности.»

Представитель компании отметил, что формат изображения WebP упоминается в его раскрытии и на официальной странице CVE. Он не объяснил, почему в официальном заявлении CVE и Google не упоминается широко используемая библиотека libwebp или вероятность того, что другое программное обеспечение также может оказаться уязвимым.

Представитель Google не ответил на вопрос, связаны ли CVE-2023-4863 и CVE-2023-41064 с одной и той же уязвимостью. Citizen Lab и Apple не ответили на вопросы, отправленные по электронной почте, до того, как эта история стала известна, пишет ArsTechnica.

Количество приложений, фреймворков, библиотек кода и других пакетов, включающих libwebp и еще не получивших исправлений, неизвестно. Хотя Microsoft исправила CVE-2023-4863 в своем браузере Edge, в четверг компания подтвердила в электронном письме, что другие уязвимые продукты и пакеты кода еще не исправлены. Обновление для затронутых предложений «находится в нашем конвейере выпуска», сказал представитель, не указав даты. Продукты Microsoft, которые, как известно, остаются уязвимыми, — это Teams, широко используемая платформа для совместной работы, и инструмент разработчика Visual Studio Code.

Оба продукта построены на платформе Electron, на которую также повлияла CVE-2023-4863. Существует большое количество других приложений, которые также используют Electron.

В список уязвимых приложений добавляются и другие широко используемые платформы, библиотеки кода и операционные системы.

В их числе:

• Google Chrome — Mac и Linux 116.0.5845.187 и Windows 116.0.5845.187/.188.
• Mozilla — Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 и Thunderbird 115.2.2.
• Браузер Brave — версия 1.57.64 (Chromium: 116.0.5845.188).
• Microsoft Edge – версии 109.0.1518.140, 116.0.1938.81 и 117.0.2045.31.
• Tor-браузер – версия 12.5.4.
• Opera – версия 102.0.4880.46.
• Vivaldi – версия 6.2.3105.47.
• Debian — выпущены частичные исправления безопасности для chromium, firefox, firefox-esr, libwebp и Thunderbird, исправления есть не во всех дистрибутивах.
• Ubuntu — выпущены частичные исправления безопасности для браузера chromium, libwebp, firefox, Thunderbird и mozjs, исправления есть не во всех дистрибутивах.
• Alpine — выпущены исправления безопасности для chromium, libwebp, qt5-qtimageformats и firefox-esr.
• Gentoo — выпущено исправление безопасности для media-libs/libwebp версии 1.3.1_p20230908.
• RedHat — выпущены исправления безопасности (RHSA) для Mozilla Thunderbird, Mozilla Firefox и libwebp.
• SUSE — выпущены исправления безопасности (SUSE-SU и openSUSE-SU) для пакетов Mozilla Firefox, Mozilla Thunderbird, libwebp и chromium.
• Oracle – выпустила исправления безопасности (ELSA) для Mozilla Firefox и Mozilla Thunderbird.
• Amazon Linux – до сих пор не внесла исправления в свои образы AMI и множество других продуктов.

Количество затронутых пакетов программного обеспечения слишком велико, чтобы проверить их все. Пользователям, которые хотят узнать об исправлении конкретного продукта, рекомендуется обратиться к его разработчику.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

• Хакеры распространяют зловред под видом PoC для эксплойта WinRAR.
• CrowdStrike приобретает израильский стартап Bionic.
• Команда Free Download Manager выпустила скрипт для проверки на наличие вредоносного ПО для Linux.