O Google esclareceu que o dia zero do Chrome explorado, inicialmente pensado para estar dentro do Chrome, na verdade reside na biblioteca libwebp (CVE-2023-5129). Esta revelação vem depois a Autoridade de Numeração CVE rejeitou ou retirou o ID, considerando-o uma duplicata de CVE-2023-4863.
Esta última entrada foi revisada para abranger seu impacto na biblioteca libwebp.
Compreendendo o CVE-2023-5129
No centro desta vulnerabilidade está uma implementação falha do algoritmo de codificação Huffman. Esta supervisão permite potencialmente agentes mal-intencionados acionem um estouro de buffer de heap e executem código arbitrário. Notavelmente, CVE-2023-5129 afeta versões libwebp que vão de 0.5.0 a 1.3.1. No entanto, o Google resolveu rapidamente esse problema na versão 1.3.2. Sua gravidade é sublinhada por uma pontuação CVSS perfeita de 10,0, significando sua natureza crítica.
Qual é a conexão?
Pesquisadores em Rezilhão conjecturou anteriormente que CVE-2023-41064, uma vulnerabilidade de estouro de bufferdentro da estrutura ImageI/O da Apple, e CVE-2023-4863, o mencionado dia zero do Chrome, eram essencialmente manifestações da mesma falha. Acontece que a hipótese deles estava correta, levando ao surgimento do CVE-2023-5129.
Impacto generalizado
O significado desta revelação se estende porum amplo espectro de aplicações e plataformas. A biblioteca libwebp é parte integrante de:
- Imagens de contêineres populares, baixadas e implantadas coletivamente bilhões de vezes (por exemplo, drupal, ngnix, perl, python, ruby, ferrugem, wordpress).
- Vários utilitários dependentes do libwebp.
- Navegadores líderes como Chrome, Firefox, Microsoft Edge, Opera e outros.
- Numerosas distribuições Linux, incluindo Debian, Ubuntu, Alpine, Gentoo, SUSE e muito mais.
- A estrutura Electron, servindo como base para vários aplicativos de desktop multiplataforma.
- Uma série de outros aplicativos, desde Microsoft Teams e Slack até Discord, LibreOffice, 1Password, Telegram, Signal Desktop e muito mais.
Enquanto alguns já integraram patches para resolver a vulnerabilidade, outros ainda não seguiram o exemplo. É imperativo que os consumidores sigam os antigos conselhos: mantenha seu(s) sistema(s) operacional(is) e software atualizado(s) regularmente.
Capacitando empresas
Para empresas que utilizam scanners de vulnerabilidade, este desenvolvimento significa um avanço significativo. Eles podem agora automaticamentedetectar e corrigir a vulnerabilidade em seus sistemas.
Agindo
Especialistas enfatizam a urgência de uma acção rápida. As empresas que dependem scanners de vulnerabilidade agora tem uma vantagem crítica na detecção e mitigação rápida da ameaça CVE-2023-5129. Tom Sellers oferece um comando prático para usuários do macOS identificarem versões corrigidas do Electron, fortalecendo suas aplicações contra riscos potenciais.
Vendedores Tom,Engenheiro Principal de Pesquisa no correrZerocompartilhou um comando shell para usuários do macOS para discernir quais de suas aplicações são baseadas em versões específicas do Electron. Versões 22.3.24, 24.8.3, 25.8.1, 26.2.1, e 27.0.0-beta.2 receberam o patch necessário, fornecendo uma camada adicional de segurança para os usuários.
Concluindo, a identificação de CVE-2023-5129 na libwebp esclarece a interconectividade das vulnerabilidades dentro de aplicativos e bibliotecas amplamente utilizados. Medidas proativas, incluindo atualizações regulares e verificações de vulnerabilidades, são cruciais para protegendo sistemas e dados contra ameaças potenciais.
Enquanto isso, a notícia do desenvolvimento chega logo após o 25º aniversário do Google. Se você perdeu, confira nosso artigo sobre como o girador surpresa do 25º aniversário do Google marcou sua celebração de um quarto de século.
Crédito da imagem em destaque: Pixabay
Source: Google confirma exploração de dia zero do Chrome em libwebp (CVE-2023-5129)
