Критична вразливість libwebp

29.09.2023 Автор: Марія Огнівчук

Вразливість libwebp загрожує безпеці браузерів, месенджерів і сотень інших популярних застосунків

Минулого тижня з’явилася небезпечна вразливість нульового дня, яку було оцінено максимальним балом 10,0 за системою CVSS, і якій було присвоєно ідентифікатори CVE-2023-4863 та CVE-2023-5129.

Вразливість виявлено в бібліотеці для роботи із зображеннями у форматі WebP, її активно використовують зловмисники. Це становить серйозну загрозу для безлічі операційних систем, веб-браузерів, застосунків і компонентів, таких як iOS, Skype, Microsoft Teams, Slack, Signal, Chrome, Chromium, Firefox, Thunderbird, Libreoffice, Photoshop, GitHub Desktop, Visual Studio Code і багато інших. 

Спочатку Google віднесла цю помилку до уразливості Chrome (CVE-2023-4863) і не пов’язувала її з libwebp. Таке рішення викликало непорозуміння в галузі кібербезпеки, оскільки багатьох цікавило питання, чому Google не зазначила її як недолік у libwebp. Тому вразливість було перекласифіковано як CVE-2023-5129.

Значення рекласифікації як уразливості libwebp полягає в тому, що вона залишалася непоміченою як потенційна загроза безпеці для різних проєктів, що використовують libwebp, включно з найпопулярнішими платформами.

На які застосунки впливає вразливість?

warning sign

Уразливість зачіпає багато популярних застосунків, що використовують формат WebP. Хакери активно використовують її для атак нульового дня. Вразливість було виправлено у версії 1.3.2 libwebp, але багато застосунків, як і раніше, піддаються потенційним загрозам. Ось список деяких застосунків, на які впливає вразливість:

  • 1Password
  • balenaEtcher
  • Basecamp 3
  • Beaker (веб-браузер)
  • Bitwarden
  • CrashPlan
  • Cryptocat (знято з виробництва)
  • Discord
  • Eclipse Theia
  • FreeTube
  • GitHub Desktop
  • GitKraken
  • Joplin
  • Keybase
  • Lbry
  • Light Table
  • Logitech Options +
  • LosslessCut
  • Mattermost
  • Microsoft Teams
  • MongoDB Compass
  • Mullvad
  • Notion
  • Obsidian
  • QQ (для macOS)
  • Quasar Framework
  • Shift
  • Signal
  • Skype
  • Slack
  • Symphony Chat
  • Tabby
  • Termius
  • TIDAL
  • Twitch
  • Visual Studio Code
  • WebTorrent
  • Wire
  • Yammer

Для яких застосунків доступні виправлення для вразливості?

digital background

У деяких застосунках вразливість виправлено, та оновлення доступні для завантаження. Ось деякі із застосунків, які випустили виправлення для вразливості:

  • Google Chrome
  • Mozilla Firefox
  • Microsoft Edge
  • Opera

Користувачам вразливих застосунків рекомендується якомога швидше оновити їх до останньої версії, щоб знизити ризик злому, витоку інформації та інших інцидентів безпеки.

Розробникам застосунків, що використовують libwebp, рекомендується вивчити детальніше ризик її експлуатації, оновити цю бібліотеку, або розглянути заміну чи тимчасову деактивацію цієї бібліотеки, або знайти інші обхідні рішення чи способи пом’якшення ризику.

Як забезпечити безпеку та уникнути подібних вразливостей?

security key

З огляду на серйозні загрози, пов’язані з уразливостями, подібними до проблеми з libwebp, важливо активно працювати над гарантуванням безпеки ваших застосунків і систем. У H-X Technologies ми спеціалізуємося на забезпеченні високого ступеня безпеки в онлайн-середовищі. Наші експерти в галузі кібербезпеки володіють високими кваліфікаціями та проводять систематичне тестування на проникнення (пентестінг) і аналіз безпеки вихідного коду, спрямовані на виявлення і подальше усунення вразливостей, подібних врізливості libwebp.

Ми усвідомлюємо, наскільки критичним є забезпечення безпеки вашого бізнесу, і тому готові запропонувати вам персоналізовані рішення. Не дозволяйте вразливостям підірвати безпеку вашої компанії. Звертайтеся до нас, і ви отримаєте не тільки разове професійне пентестування та аналіз безпеки вихідного коду, а й регулярну підтримку та цінні рекомендації від наших експертів.

_____________________
Підпишіться на наш канал Телеграм, щоб не пропустити наші новини.

Інші новини

21/12/2024
Підсумки 2024 року
14/11/2024
Довіру клієнтів знову підтверджено