Уязвимость libwebp угрожает безопасности браузеров, мессенджеров и сотен других популярных приложений
На прошлой неделе появилась опасная уязвимость нулевого дня, которая была оценена максимальным баллом 10,0 по системе CVSS, и которой были присвоены идентификаторы CVE-2023-4863 и CVE-2023-5129.
Уязвимость обнаружена в библиотеке для работы с изображениями в формате WebP и активно используется злоумышленниками. Это представляет серьезную угрозу для множества операционных систем, веб-браузеров, приложений и компонентов, таких как iOS, Skype, Microsoft Teams, Slack, Signal, Chrome, Chromium, Firefox, Thunderbird, Libreoffice, Photoshop, GitHub Desktop, Visual Studio Code и многие другие.
Изначально Google отнесла данную ошибку к уязвимости Chrome (CVE-2023-4863) и не связывала ее с libwebp. Такое решение вызвало недоразумение в области кибербезопасности, поскольку многие задавались вопросом, почему Google не отметила ее как недостаток в libwebp. Поэтому уязвимость была переклассифицирована как CVE-2023-5129.
Значение реклассификации в качестве уязвимости libwebp заключается в том, что она оставалась незамеченной как потенциальная угроза безопасности для различных проектов, использующих libwebp, включая самые популярные платформы.
На какие приложения влияет уязвимость?
Уязвимость затрагивает многие популярные приложения, использующие формат WebP. Хакеры активно используют её для атак нулевого дня. Уязвимость была исправлена в версии 1.3.2 libwebp, но многие приложения по-прежнему подвержены потенциальным угрозам. Вот список некоторых приложений, на которые влияет уязвимость:
- 1Password
- balenaEtcher
- Basecamp 3
- Beaker (web browser)
- Bitwarden
- CrashPlan
- Cryptocat (discontinued)
- Discord
- Eclipse Theia
- FreeTube
- GitHub Desktop
- GitKraken
- Joplin
- Keybase
- Lbry
- Light Table
- Logitech Options +
- LosslessCut
- Mattermost
- Microsoft Teams
- MongoDB Compass
- Mullvad
- Notion
- Obsidian
- QQ (for macOS)
- Quasar Framework
- Shift
- Signal
- Skype
- Slack
- Symphony Chat
- Tabby
- Termius
- TIDAL
- Twitch
- Visual Studio Code
- WebTorrent
- Wire
- Yammer
Для каких приложений доступны исправления для уязвимости?
В некоторых приложениях уязвимость исправлена, и обновления доступны для скачивания. Вот некоторые из приложений, которые выпустили исправления для уязвимости:
- Google Chrome
- Mozilla Firefox
- Microsoft Edge
- Opera
Пользователям уязвимых приложений рекомендуется как можно скорее обновить их до последней версии, чтобы снизить риск взлома, утечки информации и других инцидентов безопасности.
Разработчикам приложений, использующих libwebp, рекомендуется изучить детальнее риск её эксплуатации, обновить эту библиотеку, либо рассмотреть замену или временную деактивацию этой библиотеки, либо найти другие обходные решения или способы смягчения риска.
Как обеспечить безопасность и избежать подобных уязвимостей?
Учитывая серьезные угрозы, связанные с уязвимостями, подобными проблеме с libwebp, важно активно работать над обеспечением безопасности ваших приложений и систем. В H-X Technologies мы специализируемся на обеспечении высокой степени безопасности в онлайн-среде. Наши эксперты в области кибербезопасности обладают высокими квалификациями и проводят систематическое тестирование на проникновение (пентестинг) и анализ безопасности исходного кода, направленные на выявление и последующее устранение уязвимостей, подобных уязвимости libwebp.
Мы осознаем, насколько критично обеспечение безопасности вашего бизнеса, и поэтому готовы предложить вам персонализированные решения. Не позволяйте уязвимостям подорвать безопасность вашей компании. Обращайтесь к нам, и вы получите не только разовое профессиональное пентестирование и анализ безопасности исходного кода, но и регулярную поддержку и ценные рекомендации от наших экспертов.
_____________________
Подпишитесь на наш канал Телеграм, чтобы не пропустить наши новости.