ATUALIZAÇÃO (28 de setembro de 2023, 03h15 horário do leste dos EUA):
O ID CVE-2023-5129 foi rejeitado ou retirado pela Autoridade de Numeração CVE (Google), pois é uma duplicata de CVE-2023-4863 . A entrada para este último foi ampliada para incluir o seu impacto na biblioteca libwebp.
O dia zero do Chrome explorado e corrigido pelo Google há algumas semanas tem um novo ID (CVE-2023-5129) e uma descrição que conta toda a história: a vulnerabilidade não está no Chrome, mas na biblioteca libwebp, que é usado por muitos aplicativos populares para codificar/decodificar o formato de imagem WebP.
Sobre CVE-2023-5129
A origem da vulnerabilidade é uma implementação falha do algoritmo de codificação Huffman, que pode permitir que invasores acionem um buffer overflow e executem código arbitrário.
CVE-2023-5129 afeta as versões 0.5.0 a 1.3.1 da libwebp e foi corrigido na versão 1.3.2. Ele recebeu uma pontuação CVSS “perfeita” (10,0), o que significa que é o mais crítico possível.
Os pesquisadores da Rezilion postularam anteriormente que CVE-2023-41064, uma vulnerabilidade de buffer overflow na estrutura ImageI/O recentemente corrigida pela Apple e explorada para entregar o spyware Pegasus do Grupo NSO, e CVE-2023-4863, o mencionado dia zero do Chrome, são efetivamente a mesma falha.
Acontece que eles estavam certos – daí: CVE-2023-5129.
E agora?
Ofri Ouzan e Yotam Perkal da Rezilion apontaram que a biblioteca libwebp pode ser encontrada em:
- Imagens de contêineres populares, “baixadas e implantadas coletivamente bilhões de vezes” (por exemplo, drupal, ngnix, perl, python, ruby, ferrugem, wordpress)
- Uma variedade de utilitários que dependem do libwebp
- Os navegadores da web mais populares (Chrome, Firefox, Microsoft Edge, Opera, etc.
- Muitas distribuições Linux (Debian, Ubuntu, Alpine, Gentoo, SUSE, etc.)
- A estrutura Electron, na qual muitos aplicativos de desktop multiplataforma são baseados
- Uma série de outros aplicativos (incluindo Microsoft Teams, Slack, Discord, LibreOffice , 1Password, Telegram, Signal Desktop, etc.)
Alguns deles já incorporaram correções para a vulnerabilidade e alguns ainda não o fizeram. Esperançosamente, o resto das correções serão lançadas em breve.
Os consumidores devem levar a sério e implementar esse conselho frequentemente repetido: atualize regularmente seu(s) sistema(s) operacional(is) e software.
A boa notícia para as empresas que utilizam scanners de vulnerabilidade é que elas finalmente serão capazes de detectar automaticamente e proceder à correção da vulnerabilidade em seus sistemas.
Tom Sellers, principal engenheiro de pesquisa da runZero, também compartilhou um comando shell que os usuários podem executar no macOS para ver quais de seus aplicativos são baseados em qual versão do Electron (versões 22.3.24, 24.8.3, 25.8.1, 26.2.1 e 27.0.0-beta.2 tem o patch).
O caçador de ameaças Michael Taggart compilou e está atualizando uma lista de aplicativos baseados em Electron , apontando a versão em uso.
FONTE: HELP NET SECURITY