Неполные раскрытия информации Apple и Google создают «огромное слепое пятно» для охотников за нулевым днем

Неполная информация, содержащаяся в недавних отчетах Apple и Google о критических уязвимостях нулевого дня, активно эксплуатируемых в их продуктах, создала «огромное слепое пятно», из-за которого большое количество предложений других разработчиков остаются не исправленными, заявили исследователи в четверг.

Две недели назад Apple сообщила, что злоумышленники активно эксплуатировали критическая уязвимость в iOS, позволяющая установить шпионское шпионское ПО, известное как Pegasus. В атаках использовался метод нулевого щелчка, то есть они не требовали никакого взаимодействия со стороны целей. Простого звонка или сообщения на iPhone было достаточно, чтобы заразиться Pegasus, который является одним из самых опасных в мире. самый продвинутый фрагменты известного вредоносного ПО.

“Огромное слепое пятно”

Apple заявила, что уязвимость, отслеживаемая как CVE-2023-41064, возникла из-за ошибки переполнения буфера в ИзображениеIO, проприетарная платформа, которая позволяет приложениям читать и записывать файлы изображений большинства форматов, включая формат WebP. Apple приписала открытие «нулевого дня» Citizen Lab, исследовательской группе в Школе Мунка при Университете Торонто, которая следит за атаками национальных государств, нацеленными на диссидентов и другие группы риска.

Четыре дня спустя Google сообщил критическая уязвимость в браузере Chrome. Компания заявила, что уязвимость представляет собой так называемую переполнение буфера кучи это присутствовало в WebP. Далее Google предупредил, что существует эксплойт для этой уязвимости. В Google заявили, что об уязвимости, обозначенной как CVE-2023-4863, сообщили команда Apple по разработке и архитектуре безопасности и Citizen Lab.

Спекуляции, в том числе от меня, быстро выяснилось, что большое количество сходств убедительно свидетельствует о том, что основная ошибка для обеих уязвимостей была одной и той же. В четверг исследователи из охранной компании Rezillion опубликовали доказательства, которые, по их словам, делают это «весьма вероятным», что оба действительно возникли из-за одной и той же ошибки, особенно в libwebp, библиотеке кода, которую приложения, операционные системы и другие библиотеки кода включают в себя для обработки изображений WebP.

По словам исследователей, вместо того, чтобы Apple, Google и Citizen Lab координировали свои действия и точно сообщали об общем происхождении уязвимости, они решили использовать отдельное обозначение CVE. Исследователи пришли к выводу, что «миллионы различных приложений» останутся уязвимыми до тех пор, пока они тоже не установят исправление libwebp. Это, в свою очередь, по их словам, не позволяет разработчикам автоматизированных систем, используемых для отслеживания известных уязвимостей в своих предложениях, обнаружить критическую уязвимость, которая активно эксплуатируется.

«Поскольку уязвимость относится к всеобъемлющему продукту, содержащему уязвимую зависимость, уязвимость будет отмечена сканерами уязвимостей только для этих конкретных продуктов», — исследователи Rezillion Офри Узан и Йотам Перкал. написал. «Это создает ОГРОМНОЕ слепое пятно для организаций, слепо полагающихся на результаты своего сканера уязвимостей».

Google также подвергся критике за ограничение области действия CVE-2023-4863 Chrome, а не libwebp. Кроме того, официальное описание описывает уязвимость как переполнение буфера кучи в WebP в Google Chrome.

В электронном письме представитель Google написал: «Многие платформы реализуют WebP по-разному. У нас нет никаких подробностей о том, как ошибка повлияет на другие продукты. Нашей целью было как можно скорее исправить ситуацию для сообщества Chromium и затронуть пользователей Chromium. Программным продуктам рекомендуется отслеживать исходные библиотеки, от которых они зависят, чтобы получать исправления и улучшения безопасности».

Представитель отметил, что формат изображения WebP упоминается в его раскрытии и на официальной странице CVE. Представитель не объяснил, почему в официальном заявлении CVE и Google не упоминается широко используемая библиотека libwebp или вероятность того, что другое программное обеспечение также может оказаться уязвимым.

Представитель Google не ответил на вопрос, связаны ли CVE-2023-4863 и CVE-2023-41064 с одной и той же уязвимостью. Citizen Lab и Apple не ответили на вопросы, отправленные по электронной почте, до того, как эта история стала известна.