Компания Google представила новые подробности о критической уязвимости, которая затрагивает огромное количество приложений и фреймворков.
Уязвимость была найдена в библиотеке libwebp, отвечающей за работу с изображениями формата WebP. Эта библиотека интегрирована практически в каждое приложение, которое отображает WebP, в частности, в фреймворк Electron, используемый в Chrome.
Две недели назад Google сообщила об уязвимости переполнения буфера в WebP в Chrome, присвоив ей уровень опасности 8.8. Описание ошибки указывало только на браузер как ПО, подверженное уязвимости, хотя на самом деле уязвимым был любой код, использующий libwebp. Эксперты еще тогда предупреждали, что такая политика Google может привести к задержке в устранении проблемы.
И вот теперь Google, наконец, раскрыла новую ошибку, указав, что она затрагивает именно библиотеку libwebp, и присвоив ей максимальный уровень опасности 10. Кроме того, уязвимость описывается не просто как "переполнение буфера в WebP в Chrome". Уточнено, что при использовании специально созданного файла WebP можно записывать данные за пределами буфера.
Именно неполнота первого сообщения от Google привела к тому, что уже долгое время критическая ошибка, присутствующая в множестве программ, остается без исправлений.
Что интересно, помимо Google с проблемой с WebP столкнулась и Apple, которая также две недели назад предупредила, что злоумышленники используют эту уязвимость для установки знаменитого шпионского ПО Pegasus. Причем для заражения устройства достаточно было получить звонок или сообщение на iPhone.
Apple указала, что уязвимость была в фреймворке ImageIO, который позволяет приложениям работать с большим количеством форматов изображений, в т.ч. и с WebP. Эксперты по безопасности предположили, что обе уязвимости могут иметь общую причину, и раскритиковали Google и Apple за то, что они никак не скоординировали свои действия и не указали на общий источник уязвимости.
Горячие темы