.
Atualizada O Google e a Mozilla apressaram-se em corrigir uma vulnerabilidade em seus navegadores – Chrome e Firefox, respectivamente – observando que já existe uma exploração à solta.
O gigante das buscas na web na terça-feira emitido às pressas uma atualização para seu software em resposta à pesquisa do Citizen Lab da Munk School da Universidade de Toronto. O Google também deu crédito à equipe de Engenharia e Arquitetura de Segurança da Apple (SEAR) por descobrir e relatar a falha de segurança.
O mesmo para Moz, que também na terça-feira publicado um aviso e atualizações para seu navegador e cliente de e-mail.
A vulnerabilidade crítica, CVE-2023-4863, é um estouro de buffer de heap em libwebp, uma biblioteca de código aberto desenvolvida pelo Google que processa imagens WebP. Basicamente, qualquer aplicativo – como Chrome, Edge ou Firefox – que utilize esta biblioteca para exibir imagens WebP pode ser potencialmente sequestrado por uma imagem cuidadosamente elaborada.
Fomos informados de que já existe uma exploração para essa falha e está sendo usada contra alguns alvos. A Mozilla, pelo que vale a pena, indicou que esses alvos não incluem o Firefox, por enquanto.
WebP, de acordo com o Google, “é um formato de imagem moderno que fornece compactação superior sem perdas e com perdas para imagens na web”. Infelizmente, também parece ser uma vantagem para os distribuidores de malware.
O Google atualizou os canais Stable e Extended para Chrome para 116.0.5845.187 para Mac e 116.0.5845.187/.188 para Windows. O canal Extended Stable será lançado nos próximos dias ou semanas. Enquanto isso, a Moz corrigiu a falha no Firefox 117.0.1, Thunderbird 115.2.2 e outras edições de seu equipamento.
Além de ser usado em outros navegadores Chromium, como Edge e Opera, o libwebp está incluído em diversas ferramentas e editores de imagens. Esperamos ver patches para esses navegadores e programas também.
Além de reconhecer que já existe uma exploração para a vulnerabilidade libwebp, o Google foi discreto em relação aos detalhes, dizendo apenas: “O acesso aos detalhes e links do bug pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção. “
Ele acrescentou: “Também manteremos restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos dependem de forma semelhante, mas ainda não foram corrigidos”.
Tarquin Wilton-Jones, do fabricante de navegadores baseado em Chromium, Vivaldi, disse Strong The One: “Vivaldi rastreia as atualizações do Chromium de perto e, para correções de segurança, a atualização ou um patch é recebido e lançado o mais rápido possível, às vezes dentro de alguns dias, às vezes até no mesmo dia.”
Ele acrescentou: “Uma correção foi incluída para este problema específico na atualização mais recente do Vivaldi.”
A exploração de um buffer overflow tende a resultar em uma falha ou na execução de código arbitrário. Semana passada, Apple tratou duas edições: CVE-2023-41061 e CVE-2023-41064. Este último, relatado pelo Citizen Lab, também era um problema de buffer overflow em um componente de processamento de imagem. Citizen Lab referiu-se a uma exploração para CVE-2023-41064 como BLASTPASSque não exigia interação da vítima para que o spyware Pegasus da NSO fosse baixado e executado após o recebimento de uma imagem maliciosa.
Embora o Google tenha sido pouco específico, o crédito dado aos repórteres do CVE-2023-4863, bem como o momento e o tipo, indica que pode haver uma conexão entre isso e os problemas que a Apple corrigiu na semana passada.
De qualquer forma, com uma exploração já disponível, validar e aplicar patches quando estiverem disponíveis parece ser a abordagem prudente. ®
Atualizado para adicionar
Esta história foi revisada para incluir detalhes dos patches da Mozilla para Firefox. Dado o uso generalizado de libwebp em aplicativos, procure patches para o software de sua escolha para fechar essa lacuna: Microsoft Edge, Vivaldi, o navegador Brave e aplicativos baseados em Electron devem ter atualizações em breve, se ainda não.
.
