Неповне розкриття інформації про критичні вразливості нульового дня від Apple і Google створює проблеми для розробників

Неповне розкриття інформації про критичні вразливості нульового дня, які активно експлуатуються, може призвести до того, що мільйони додатків залишаться вразливими, заявили дослідники.

«Величезна сліпа зона»

Два тижні тому Apple повідомила про критичну вразливість в iOS, яка використовувалася для установки шпигунського програмного забезпечення Pegasus. Незабаром після цього Google повідомила про подібну вразливість у своєму браузері Chrome.

Дослідники з Rezillion виявили, що обидві вразливості, ймовірно, виникли з однієї і тієї ж помилки в бібліотеці коду libwebp, яка використовується для обробки зображень WebP.

Незважаючи на це, Apple, Google та Citizen Lab, яка повідомила про вразливості, не повідомили про спільне походження вразливостей. Це означає, що розробники можуть не знати про вразливість в libwebp, і їхні додатки можуть залишатися вразливими.

«Це створює величезну сліпу зону для організацій, які сліпо покладаються на результати роботи своїх сканерів вразливостей», — заявили дослідники Rezillion.

Google заявив, що вирішив обмежити сферу дії CVE-2023-4863 браузером Chrome, а не libwebp, оскільки не має жодних подробиць про те, як ця помилка впливає на інші продукти.

Представник Google заявив, що найкращою практикою для програмних продуктів є відстеження попередніх бібліотек, від яких вони залежать, щоб отримати виправлення та покращити безпеку.

Однак дослідники заявили, що це не завжди можливо, особливо для невеликих розробників.

«Це створює несправедливість для розробників, які не мають ресурсів, щоб відстежувати всі попередні бібліотеки, від яких вони залежать», — заявили вони.

Дослідники закликали Apple, Google та Citizen Lab координувати свої розкриття інформації про вразливості нульового дня, щоб забезпечити більшу прозорість і допомогти розробникам захистити свої продукти.

Отже, хто постраждав?

Кількість додатків, фреймворків, бібліотек коду та інших пакетів, які використовують libwebp і ще не отримали виправлення, невідома. Хоча Microsoft виправила CVE-2023-4863 у своєму браузері Edge, компанія підтвердила в електронному листі в четвер, що інші вразливі продукти та пакети коду ще не були виправлені. За словами представника компанії, оновлення для уражених продуктів «знаходиться в процесі розробки», не вказавши при цьому, коли саме воно буде випущено. Відомо, що вразливими залишаються такі продукти Microsoft, як Teams, широко використовувана платформа для спільної роботи, та інструмент для розробників Visual Studio Code.

Обидва продукти побудовані на фреймворку Electron, який також постраждав від CVE-2023-4863. Існує велика кількість інших програм, які також використовують Electron. Згідно зі списком, складеним у Вікіпедії, вони включають

• 1Password
• balenaEtcher
• Basecamp 3
• Beaker (web browser)
• Bitwarden
• CrashPlan
• Cryptocat (discontinued)
• Discord
• Eclipse Theia
• FreeTube
• GitHub Desktop
• GitKraken
• Joplin
• Keybase
• Lbry
• Light Table
• Logitech Options +
• LosslessCut
• Mattermost
• Microsoft Teams
• MongoDB Compass
• Mullvad
• Notion
• Obsidian
• QQ (for macOS)
• Quasar Framework
• Shift
• Signal
• Skype
• Slack
• Symphony Chat
• Tabby
• Termius
• TIDAL
• Twitch
• Visual Studio Code
• WebTorrent
• Wire
• Yammer

До списку вразливих додатків додаються й інші широко розповсюджені фреймворки, бібліотеки коду та операційні системи, які також вразливі до CVE-2023-4863, оскільки вони включають Electron, ще одну бібліотеку коду, яка використовує libwebp, або мають вбудований libwebp. На щастя, багато з них були виправлені від цієї вразливості:

• Google Chrome –  Mac and Linux 116.0.5845.187 and Windows 116.0.5845.187/.188.
• Mozilla – Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1, and Thunderbird 115.2.2
• Brave Browser – version 1.57.64 (Chromium: 116.0.5845.188).
• Microsoft Edge – versions 109.0.1518.140, 116.0.1938.81 and 117.0.2045.31.
• Tor Browser – version 12.5.4.
• Opera – version 102.0.4880.46.
• Vivaldi – version 6.2.3105.47.
• Bitwarden

Операційні системи

• Debian – випущено часткові виправлення безпеки для chromium, firefox, firefox-esr, libwebp та thunderbird; виправлення наявні не у всіх дистрибутивах.
• Ubuntu – випущено часткові виправлення безпеки для браузерів chromium, libwebp, firefox, thunderbird та mozjs; виправлення наявні не у всіх дистрибутивах.
• Alpine – випущено виправлення безпеки у chromium, libwebp, qt5-qtimageformats та firefox-esr.
• Gentoo – випущено виправлення безпеки у media-libs/libwebp версії 1.3.1_p20230908.
• RedHat – випущено виправлення безпеки (RHSA) для Mozilla Thunderbird, Mozilla Firefox та libwebp.
• SUSE – випущено виправлення безпеки (SUSE-SU та openSUSE-SU) для пакектів Mozilla Firefox, Mozilla Thunderbird, libwebp та chromium.
• Oracle – випущено виправлення безпеки (ELSA) для Mozilla Firefox та Mozilla Thunderbird.
• Amazon Linux – досі не виправили образи AMI.

Інше ПЗ

• Zulip Server – version 7.4.
• Electron – versions 22.3.24, 24.8.3, 25.8.1, 26.2.1 and 27.0.0-beta.2
• Xplan – version 23.9.289.
• Signal-Desktop –  version 6.30.2.
• Honeyview – version 5.51.

Інше програмне забезпечення, про яке відомо, що його виправлено:

• Slack
• 1Password
• Telegram

Кількість постраждалих програмних пакетів занадто велика, щоб перевірити їх усі. Якщо ви хочете дізнатися про конкретну пропозицію, яку не внесено до списку, зверніться до її розробника.

Остерігайтеся помилкових негативних результатів

Rezillion продовжує, що сканування двійкових файлів ImageIO від Apple показало не лише використання libwebp, але й посилання на файли vp8l_dec.c, vp8li_dec.h, huffman_utils.c та huffman_utils.h. Це ті самі файли, що присутні в libwebp, які спричинили уразку CVE-2023-4863.

Без коментарів від Citizen Lab та Apple неможливо точно підтвердити, який зв’язок існує між CVE-2023-4863, про яку повідомляє Google, та CVE-2023-41064, про яку повідомляє Apple. (CVE – це скорочення від common vulnerabilities and exposures.) Суть системи CVE полягає у визначенні походження вразливостей, щоб будь-хто, хто створює або використовує програмне забезпечення далі за течією від джерела вразливості, міг легко визначити, чи є він вразливим.

Якщо CVE охоплюють одну й ту ж саму вразливість, команди, що брали участь у її виявленні, повинні були скоординувати свої зусилля і чітко про це заявити. Відсутність libwebp у списку CVE, про який повідомив Google, лише поглибила брак повноти інформації. Дослідники Rezillion заявили, що ця поломка ставить під загрозу цілу екосистему, оскільки багато розробників використовують автоматизовані сканери, які складають SBOM (програмну специфікацію), щоб відстежувати будь-які вразливі компоненти в додатках, які вони підтримують.

Дослідники кажуть, що неповне розкриття інформації є “величезним випробуванням” для розробників, які намагаються визначити, чи є їхні продукти вразливими. Вони зазначили, що відсутність ясності також наражає розробників на ризик отримання хибнонегативних результатів при пошуку вразливостей. Дослідники пишуть:

“Хоча спочатку здавалося, що вразливість націлена на додатки на базі Chromium, тепер, коли ми знаємо більше, ми розуміємо, що вона може вплинути на набагато ширший спектр програмного забезпечення та додатків, що покладаються на повсюдно поширений пакет libwebp для роботи з кодеком WebP. Цей пакет вирізняється своєю ефективністю, перевершуючи JPEG і PNG за розміром і швидкістю. Як наслідок, безліч програм, додатків і пакетів використовують цю бібліотеку, або навіть пакети, які є залежними від libwebp, що створює складну проблему при спробі виявити вразливі системи. Величезна поширеність libwebp значно розширює поверхню атаки, що викликає серйозне занепокоєння як у користувачів, так і в організацій.

Організаціям, які використовують рішення SBOM в своєму середовищі, рекомендується запитувати SBOM про будь-який пакет, що використовує вразливу версію libwebp як залежність. Особливо важливо переконатися, що системна бібліотека libwebp виправлена, оскільки деякі програми, такі як chromium, наприклад, побудовані на основі системної бібліотеки libwebp”.

Проста англійська мова, використана в повідомленнях Apple і Google, а також офіційні CVE, що з’явилися в результаті, дали читачам вагомі підстави вважати, що нульові дні були окремими і обмежувалися лише кількома продуктами. Тепер, коли ми знаємо більше, розробники та кінцеві користувачі повинні ретельно перевіряти програмне забезпечення. Якщо воно якимось чином взаємодіє з WebP-зображеннями, то, найімовірніше, його потрібно виправити, перш ніж воно стане безпечним для використання.

Нагадаємо, що вийшла нова версія Notepad++ 8.5.7 з виправленням чотирьох вразливостей нульового дня.