.
Imagens Getty
Informações incompletas incluídas em divulgações recentes da Apple e do Google, relatando vulnerabilidades críticas de dia zero sob exploração ativa em seus produtos, criaram um “enorme ponto cego” que está fazendo com que um grande número de ofertas de outros desenvolvedores não sejam corrigidas, disseram pesquisadores na quinta-feira.
Duas semanas atrás, a Apple relatou que os agentes de ameaças estavam explorando ativamente uma vulnerabilidade crítica no iOS para que pudessem instalar spyware de espionagem conhecido como Pegasus. Os ataques usaram um método de clique zero, o que significa que não exigiram interação por parte dos alvos. Basta receber uma chamada ou mensagem de texto em um iPhone para ser infectado pelo Pegasus, que está entre os malwares conhecidos mais avançados do mundo.
“Enorme ponto cego”
A Apple disse que a vulnerabilidade, rastreada como CVE-2023-41064, resultou de um bug de buffer overflow no ImageIO, uma estrutura proprietária que permite aos aplicativos ler e gravar a maioria dos formatos de arquivo de imagem, que inclui um conhecido como WebP. A Apple atribuiu a descoberta do dia zero ao Citizen Lab, um grupo de pesquisa da Munk School da Universidade de Toronto que acompanha ataques de estados-nação contra dissidentes e outros grupos de risco.
Quatro dias depois, o Google relatou uma vulnerabilidade crítica em seu navegador Chrome. A empresa disse que a vulnerabilidade era conhecida como heap buffer overflow que estava presente no WebP. O Google avisou que existia uma exploração da vulnerabilidade à solta. O Google disse que a vulnerabilidade, designada como CVE-2023-4863, foi relatada pela equipe de Engenharia e Arquitetura de Segurança da Apple e pelo Citizen Lab.
Rapidamente surgiram especulações, inclusive minhas, de que um grande número de semelhanças sugeria fortemente que o bug subjacente para ambas as vulnerabilidades era o mesmo. Na quinta-feira, pesquisadores da empresa de segurança Rezillion publicaram evidências que, segundo eles, tornavam “altamente provável” que ambos de fato se originassem do mesmo bug, especificamente na libwebp, a biblioteca de códigos que aplicativos, sistemas operacionais e outras bibliotecas de códigos incorporam para processar imagens WebP.
Em vez de Apple, Google e Citizen Lab coordenarem e relatarem com precisão a origem comum da vulnerabilidade, eles optaram por usar uma designação CVE separada, disseram os pesquisadores. Os pesquisadores concluíram que “milhões de aplicativos diferentes” permaneceriam vulneráveis até que eles também incorporassem a correção da libwebp. Isso, por sua vez, disseram eles, estava impedindo que os desenvolvedores de sistemas automatizados usassem para rastrear vulnerabilidades conhecidas em suas ofertas detectassem uma vulnerabilidade crítica que estivesse sob exploração ativa.
“Uma vez que a vulnerabilidade tem como escopo o produto abrangente que contém a dependência vulnerável, a vulnerabilidade só será sinalizada por scanners de vulnerabilidade para esses produtos específicos”, escreveram os pesquisadores da Rezillion, Ofri Ouzan e Yotam Perkal. “Isso cria um ENORME ponto cego para organizações que confiam cegamente no resultado de seu scanner de vulnerabilidade.”
O Google também foi criticado por limitar o escopo do CVE-2023-4863 ao Chrome, e não ao libwebp. Além disso, a descrição oficial descreve a vulnerabilidade como um estouro de buffer de heap no WebP no Google Chrome.
Por e-mail, um representante do Google escreveu: “Muitas plataformas implementam WebP de maneira diferente. Não temos detalhes sobre como o bug afeta outros produtos. Nosso foco era resolver o problema para a comunidade do Chromium e afetar os usuários do Chromium o mais rápido possível. É uma prática recomendada que os produtos de software rastreiem as bibliotecas upstream das quais dependem, a fim de obter correções e melhorias de segurança.”
O representante lembrou que o formato de imagem WebP é mencionado na sua divulgação e na página oficial do CVE. O representante não explicou por que o CVE oficial e a divulgação do Google não mencionaram a biblioteca libwebp amplamente utilizada ou a probabilidade de que outro software também fosse vulnerável.
O representante do Google não respondeu a uma pergunta perguntando se CVE-2023-4863 e CVE-2023-41064 resultavam da mesma vulnerabilidade. Citizen Lab e Apple não responderam às perguntas enviadas por e-mail antes desta história ir ao ar.
.
