Google đã gán ID CVE mới (CVE-2023-5129) cho lỗ hổng bảo mật libwebp được khai thác dưới dạng zero-day trong các cuộc tấn công và được vá hai tuần trước.
Google ban đầu tiết lộ lỗ hổng này là điểm yếu của Chrome, được theo dõi là CVE-2023-4863, thay vì gán cho thư viện libwebp nguồn mở dùng để mã hóa và giải mã hình ảnh ở định dạng WebP.
Lỗi zero-day này đã được Apple Security Engineering and Architecture (SEAR) và Citizen Lab tại Trường Munk của Đại học Toronto cùng báo cáo vào thứ Tư, ngày 6 tháng 9 và được Google sửa chưa đầy một tuần sau đó.
Các nhà nghiên cứu bảo mật tại Citizen Lab có thành tích phát hiện và tiết lộ các lỗ hổng zero-day đã bị lạm dụng trong các chiến dịch phần mềm gián điệp có chủ đích, thường liên quan đến các tác nhân đe dọa do nhà nước tài trợ, chủ yếu nhắm vào các cá nhân có nguy cơ cao như nhà báo và chính trị gia đối lập.
Quyết định gắn thẻ là lỗi của Chrome đã gây ra sự nhầm lẫn trong cộng đồng an ninh mạng, câu hỏi được đặt ra liên quan đến việc Google lựa chọn phân loại nó là sự cố của Google Chrome thay vì xác định đó là một lỗ hổng trong libwebp.
Người sáng lập công ty tư vấn bảo mật Ben Hawkes (người trước đây lãnh đạo bộ phận Project Zero của Google) cũng liên kết CVE-2023-4863 với lỗ hổng CVE-2023-41064 được Apple xử lý vào ngày 7 tháng 9 và bị lạm dụng như một phần của chuỗi khai thác iMessage bằng zero-click (được đặt tên là BLASTPASS) để lây nhiễm phần mềm gián điệp thương mại Pegasus vào những chiếc iPhone đã được vá đầy đủ.
CVE mức độ nghiêm trọng tối đa mới
Tuy nhiên, hiện tại đã gán một ID CVE khác là CVE-2023-5129, đánh dấu đây là một sự cố nghiêm trọng trong libwebp với mức đánh giá mức độ nghiêm trọng tối đa là 10/10. Việc thay đổi này có ý nghĩa quan trọng đối với các dự án khác sử dụng thư viện nguồn mở libwebp.
Lỗ hổng hiện được chính thức công nhận là lỗ hổng libwebp liên quan đến lỗi tràn bộ đệm heap trong WebP, ảnh hưởng đến các phiên bản Google Chrome trước 116.0.5845.187.
Lỗ hổng này nằm trong thuật toán mã hóa Huffman được libwebp sử dụng để nén không mất dữ liệu và cho phép kẻ tấn công thực thi việc ghi bộ nhớ ngoài giới hạn bằng cách sử dụng các trang HTML được tạo độc hại.
Kiểu khai thác này có thể gây ra hậu quả nghiêm trọng, từ sự cố đến việc thực thi mã tùy ý và truy cập trái phép vào thông tin nhạy cảm.
Việc phân loại lại CVE-2023-5129 thành lỗ hổng libwebp có tầm quan trọng đặc biệt do ban đầu lỗ hổng này không được chú ý như một mối đe dọa bảo mật tiềm ẩn đối với nhiều dự án sử dụng libwebp, bao gồm 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera và bản gốc trình duyệt web Android.
Việc xếp hạng quan trọng được sửa đổi nhấn mạnh tầm quan trọng của việc giải quyết kịp thời lỗ hổng bảo mật (hiện được theo dõi dưới nhiều ID CVE với xếp hạng mức độ nghiêm trọng khác nhau) trên các nền tảng này để đảm bảo bảo mật dữ liệu của người dùng.
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://www.john-partners.us/google-chi-dinh-cve-moi-duoc-xep-hang-toi-da-cho-loi-libwebp-bi-khai-thac-trong-cac-cuoc-tan-cong