Google がこれまでに見た中で最悪の libwebp バグを明らかにしました。

ゼロデイ攻撃として悪用されたセキュリティ脆弱性

Google は、ゼロデイ攻撃として悪用され、2 週間前にパッチが適用された libwebp のセキュリティ脆弱性に新しい CVE ID (CVE-2023-5129) を割り当てました。

同社は当初、この欠陥を WebP 形式で画像をエンコードおよびデコードするために使用されるオープンソースの libwebp ライブラリに起因するものではなく、CVE-2023-4863 として追跡される Chrome の弱点として開示しました。

このゼロデイバグは、Apple Security Engineering and Architecture (SEAR) とトロント大学マンクスクールの Citizen Lab が共同で 9 月 6 日水曜日に報告し、1 週間以内に Google によって修正されました。

Citizen Lab のセキュリティ研究者には、ターゲットを絞ったスパイ活動に悪用されたゼロデイを検出して公開してきた確立した歴史があります。これは、主にジャーナリストや野党政治家など、リスクの高い個人をターゲットとする国家支援の攻撃者と関連していることがよくあります。

これを Chrome のバグとみなす決定はサイバーセキュリティ コミュニティ内で混乱を引き起こし、これをセキュリティ上の欠陥として特定するのではなく、Google Chrome の問題として分類するという Google の選択について疑問が生じています。

セキュリティ コンサルティング会社の創設者であるベン ホークス氏 (以前は Google の Project Zero チームを率いていた) も、CVE-2023-4863 を、Apple が 9 月 7 日に対処し、ゼロ連鎖の一部で悪用された CVE-2023-41064 脆弱性と関連付けました。 iMessage エクスプロイト (BLASTPASS と呼ばれる) をクリックすると、完全にパッチが当てられた iPhone が NSO Group の商用 Pegasus スパイウェアに感染します。

新しい最大重大度 CVE

ただし、現在は別の CVE ID、CVE-2023-5129 が割り当てられており、最大重大度評価 10/10 の libwebp の重大な問題として分類されています。この変更は、オープンソースの libwebp ライブラリを使用する他のプロジェクトに重大な影響を与えます。

公式に libwebp の欠陥として認識されているこの問題は、WebP のヒープ バッファ オーバーフローに関するもので、116.0.5845.187 より前のバージョンの Google Chrome に影響します。

この脆弱性は、libwebp が可逆圧縮に使用するハフマン エンコード アルゴリズムに存在し、攻撃者が悪意のある HTML ページを使用して境界外のメモリ書き込みを実行できるようにします。

このタイプのエクスプロイトは、クラッシュから任意のコードの実行、機密情報への不正アクセスに至るまで、重大な結果をもたらす可能性があります。

CVE-2023-5129 を libwebp の脆弱性として再分類することは、1Password、Signal、Safari、Mozilla Firefox、Microsoft Edge、Opera、ネイティブ Android Web など、libwebp を使用する多くのプロジェクトに対する潜在的なセキュリティ上の脅威として当初気づかれなかったため、特に重要です。ブラウザ。

改訂された重要度評価は、ユーザー データの安全性を確保するために、これらのプラットフォーム上のセキュリティ脆弱性 (現在、さまざまな重大度評価を持つ複数の CVE ID で追跡されています) を迅速に修復することの重要性を強調しています。

本日初めにBleepingComputerに問い合わせたところ、Googleの広報担当者からのコメントは得られなかった。

当社の情報源