Google ได้กำหนด CVE ID ใหม่ (CVE-2023-5129) ให้กับช่องโหว่ด้านความปลอดภัย libwebp ที่ถูกใช้ในการโจมตีแบบ Zero-day และพึ่งมีแพตช์แก้ไขออกมาเมื่อสองสัปดาห์ก่อน
ในตอนแรก Google ได้เปิดเผยช่องโหว่ดังกล่าวว่าเป็นช่องโหว่ใน Chrome ที่มีหมายเลข CVE-2023-4863 มากกว่าที่จะกำหนดให้เป็นช่องโหว่ใน open-source ไลบรารี libwebp ที่ใช้สำหรับการ encode และ decode ภาพในรูปแบบ WebP
โดยช่องโหว่นี้ได้รับการรายงานร่วมกันโดย Apple Security Engineering and Architecture (SEAR) และ Citizen Lab ที่ Munk School ของมหาวิทยาลัยโตรอนโตในวันพุธที่ 6 กันยายน และถูกแก้ไขโดย Google ในเวลาไม่ถึงหนึ่งสัปดาห์ต่อมา
นักวิจัยด้านความปลอดภัยที่ Citizen Lab มีประวัติที่เป็นที่ยอมรับในการตรวจจับ และเปิดเผยข้อมูลช่องโหว่ zero-days ที่ถูกใช้ในการโจมตีจากสปายแวร์แบบกำหนดเป้าหมาย ซึ่งมักจะเกี่ยวข้องกับกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาล โดยมุ่งเป้าไปที่บุคคลที่มีความเสี่ยงสูงเป็นหลัก เช่น นักข่าว และนักการเมืองฝ่ายตรงข้าม
การตัดสินใจในช่วงแรกว่าเป็นช่องโหว่ของ Chrome ทำให้เกิดความสับสนในกลุ่มนักวิจัยด้านความปลอดภัยทางไซเบอร์ ซึ่งทำให้เกิดคำถามเกี่ยวกับวิธีการของ Google ในการจัดหมวดหมู่ช่องโหว่ว่าเป็นของ Google Chrome แทนที่จะระบุว่าเป็นช่องโหว่ใน libwebp
Ben Hawkes ผู้ก่อตั้งบริษัทที่ปรึกษาด้านความปลอดภัย (ซึ่งก่อนหน้านี้เคยเป็นผู้นำทีม Project Zero ของ Google) ยังได้เชื่อมโยง CVE-2023-4863 กับช่องโหว่ CVE-2023-41064 ที่ Apple แก้ไขเมื่อวันที่ 7 กันยายน และถูกใช้เป็นส่วนหนึ่งของการโจมตีแบบ zero-click ใน iMessage (หรือที่ถูกเรียกว่า BLAST PASS) ด้วย Pegasus Spyware ของ NSO Group บน iPhone ที่ถึงแม้จะได้รับการอัปเดตแพตช์อย่างเต็มรูปแบบก็ตาม
ระดับความรุนแรงของ CVE
อย่างไรก็ตาม ขณะนี้ Google ได้กำหนด CVE ID ใหม่แล้วคือ CVE-2023-5129 ซึ่งระบุว่าเป็นความรุนแรงระดับ critical ใน libwebp โดยมีระดับความรุนแรงสูงสุด 10/10 การเปลี่ยนแปลงนี้มีผลกระทบอย่างมีนัยสำคัญต่อโปรเจ็กต์อื่น ๆ ที่ใช้ใน open-source ไลบรารี libwebp
โดยขณะนี้ได้มีการยอมรับอย่างเป็นทางการแล้วว่าช่องโหว่ลักษณะดังกล่าวเป็นช่องโหว่ของ libwebp โดยเป็นช่องโหว่ heap buffer overflow ใน WebP ซึ่งส่งผลกระทบต่อ Google Chrome เวอร์ชันก่อนหน้า 116.0.5845.187
ช่องโหว่นี้อยู่ภายในอัลกอริธึมการเข้ารหัส Huffman ที่ใช้โดย libwebp สำหรับ lossless compression และทำให้ผู้โจมตีสามารถ execute out-of-bounds memory writes โดยใช้หน้า HTML ที่สร้างขึ้นมาเป็นพิเศษ
การใช้ประโยชน์จากช่องโหว่นี้อาจส่งผลร้ายแรง ตั้งแต่การหยุดการทำงาน ไปจนถึงการเรียกใช้โค้ดตามที่ต้องการ และการเข้าถึงข้อมูลที่มีความสำคัญโดยไม่ได้รับอนุญาต
การจัดประเภทใหม่ของ CVE-2023-5129 ว่าเป็นช่องโหว่ใน libwebp มีความสำคัญมาก เนื่องจากในตอนแรกไม่มีใครสังเกตเห็นว่าเป็นภัยคุกคามที่อาจเกิดขึ้นสำหรับหลายโครงการที่ใช้ libwebp รวมถึง 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera และ Native เว็บเบราว์เซอร์ Android
รายชื่อแอพพลิเคชัน และซอฟแวร์ต่าง ๆ บางส่วน ที่อาจได้รับผลกระทบจากช่องโหว่ของ libwebp
Google Chrome
Microsoft Edge
Safari
Opera
Slack
Discord
GitHub Desktop
Mozilla FireFox
1Password
balenaEtcher
Basecamp 3
Beaker (web browser)
Bitwarden
CrashPlan
Cryptocat (discontinued)
Eclipse Theia
FreeTube
GitKraken
Joplin
Keybase
Lbry
Light Table
Logitech Options+
LosslessCut
Mattermost
Microsoft Teams
ไม่มีความคิดเห็น:
แสดงความคิดเห็น