- Регистрация
- 14.10.13
- Сообщения
- 1,732
- Депозит
- 1,000,000 ₽
- Сделки (гарант)
- 24
Компания из сферы информационной безопасности Rezillion сообщила, что в своих недавних отчетах Apple и Google предоставили неполную информацию о наличии серьезных уязвимостей в их ПО. Из-за этого большое количество приложений сейчас остается без необходимых исправлений.
Пару недель назад в Apple рассказали, что хакеры активно используют “прореху” в iOS, с помощью которой устанавливают троян Pegasus, следящий за пользователем. При этом он устанавливается при получении звонка или сообщения. Компания рассказала, что ошибка CVE-2023-41064 (CVSS: 7.8) была устранена, а происходила она из-за переполнения буфера ImageIO, который используется для чтения и записи изображений (в том числе формата WebP). Спустя несколько дней о критической уязвимости в Chrome (CVE-2023-4863 (CVSS: 8.8) рассказал и Google. Она также была связана с переполнением буфера в WebP.
Исследователи быстро догадались, что обе ошибки происходят из одного источника – библиотеки libwebp, которая используется приложениями и ОС для работы с изображениями WebP.
В обоих случаях определением уязвимостей занималась компания Citizen Lab. При этом Apple и Google никак не координировали свои действия и даже использовали разное обозначение CVE. Специалисты из Rezillion полагают, что сокрытие полной информации об указанной ошибке может стать причиной взлома миллионов разных приложений и устройств. Кроме того, Google заявила об уязвимости только в Chrome, тогда как библиотека libwebp используется во всех приложениях, работающих с изображениями WebP-формата. Среди них Microsoft Teams и Visual Studio Code и другие программы на базе фреймворка Electron.
На данный момент уязвимости устранены в таких приложениях, как:
• Google Chrome (версии для Mac и Linux 116.0.5845.187 и для Windows 116.0.5845.187/.188);
• Mozilla (Firefox версии 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1), Thunderbird (версии 102.15.1 и 115.2.2);
• Brave Browser (версия 1.57.64);
• Microsoft Edge (версии 109.0.1518.140, 116.0.1938.81 и 117.0.2045.31);
• Tor Browser (версия 12.5.4);
• Opera (версия 102.0.4880.46);
• Vivaldi (версия 6.2.3105.47);
• Операционные системы Debian , Ubuntu , Alpine , Gentoo , RedHat , SUSE , Oracle и Amazon Linux .
• Zulip Server – version 7.4;
• Electron – versions 22.3.24, 24.8.3, 25.8.1, 26.2.1 and 27.0.0-beta.2;
• Xplan – version 23.9.289;
• Signal-Desktop – version 6.30.2;
• Honeyview – version 5.51.
Исследователи из Rezillion также отмечают, что из-за недостатка информации об уязвимостях от Apple и Google, разработчики, тестирующие свои продукты, не могут определить насколько надежны их программы. При поиске ошибок они с большой вероятностью получают неверные данные, которые в итоге ставят под удар данные и средства пользователей.
Остается надеяться, что после привлечения внимания общественности к этой проблеме, компании все же передадут разработчикам всю необходимую информацию и производители ПО, работающего с WebP-изображениями, проверят его на ошибки и внесут исправления.
Пару недель назад в Apple рассказали, что хакеры активно используют “прореху” в iOS, с помощью которой устанавливают троян Pegasus, следящий за пользователем. При этом он устанавливается при получении звонка или сообщения. Компания рассказала, что ошибка CVE-2023-41064 (CVSS: 7.8) была устранена, а происходила она из-за переполнения буфера ImageIO, который используется для чтения и записи изображений (в том числе формата WebP). Спустя несколько дней о критической уязвимости в Chrome (CVE-2023-4863 (CVSS: 8.8) рассказал и Google. Она также была связана с переполнением буфера в WebP.
Исследователи быстро догадались, что обе ошибки происходят из одного источника – библиотеки libwebp, которая используется приложениями и ОС для работы с изображениями WebP.
В обоих случаях определением уязвимостей занималась компания Citizen Lab. При этом Apple и Google никак не координировали свои действия и даже использовали разное обозначение CVE. Специалисты из Rezillion полагают, что сокрытие полной информации об указанной ошибке может стать причиной взлома миллионов разных приложений и устройств. Кроме того, Google заявила об уязвимости только в Chrome, тогда как библиотека libwebp используется во всех приложениях, работающих с изображениями WebP-формата. Среди них Microsoft Teams и Visual Studio Code и другие программы на базе фреймворка Electron.
На данный момент уязвимости устранены в таких приложениях, как:
• Google Chrome (версии для Mac и Linux 116.0.5845.187 и для Windows 116.0.5845.187/.188);
• Mozilla (Firefox версии 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1), Thunderbird (версии 102.15.1 и 115.2.2);
• Brave Browser (версия 1.57.64);
• Microsoft Edge (версии 109.0.1518.140, 116.0.1938.81 и 117.0.2045.31);
• Tor Browser (версия 12.5.4);
• Opera (версия 102.0.4880.46);
• Vivaldi (версия 6.2.3105.47);
• Операционные системы Debian , Ubuntu , Alpine , Gentoo , RedHat , SUSE , Oracle и Amazon Linux .
• Zulip Server – version 7.4;
• Electron – versions 22.3.24, 24.8.3, 25.8.1, 26.2.1 and 27.0.0-beta.2;
• Xplan – version 23.9.289;
• Signal-Desktop – version 6.30.2;
• Honeyview – version 5.51.
Исследователи из Rezillion также отмечают, что из-за недостатка информации об уязвимостях от Apple и Google, разработчики, тестирующие свои продукты, не могут определить насколько надежны их программы. При поиске ошибок они с большой вероятностью получают неверные данные, которые в итоге ставят под удар данные и средства пользователей.
Остается надеяться, что после привлечения внимания общественности к этой проблеме, компании все же передадут разработчикам всю необходимую информацию и производители ПО, работающего с WebP-изображениями, проверят его на ошибки и внесут исправления.
