- 9,610
- 18
- 8 Ноя 2022
Критические уязвимости в системах компаний поставили под угрозы продукты других разработчиков.
Согласно Для просмотра ссылки Войдиили Зарегистрируйся ИБ-компании Rezillion, в недавних сообщениях Apple и Google была предоставлена неполная информация о критических уязвимостях, которые активно эксплуатируются в их продуктах. Такая недосказанность создала огромное слепое пятно, из-за которого большое количество программных продуктов других разработчиков остается без исправлений.
2 недели назад Apple Для просмотра ссылки Войдиили Зарегистрируйся , что злоумышленники активно используют уязвимость в iOS для установки шпионского ПО Pegasus. Атаки осуществлялись без взаимодействия с пользователем ( Zero-Click ): достаточно было получить звонок или сообщение на iPhone, чтобы устройство было заражено.
Apple указала, что уязвимость, отслеживаемая как Для просмотра ссылки Войдиили Зарегистрируйся (CVSS: 7.8) и Для просмотра ссылки Войди или Зарегистрируйся , происходит из ошибки переполнения буфера в ImageIO – фреймворке, который позволяет приложениям читать и записывать большинство форматов изображений, включая WebP. Открытие этой уязвимости было приписано Citizen Lab .
Через несколько дней Google также Для просмотра ссылки Войдиили Зарегистрируйся в браузере Chrome , связанной с переполнением буфера в WebP. Уязвимость, обозначенная как Для просмотра ссылки Войди или Зарегистрируйся (CVSS: 8.8), была раскрыта командой безопасности Apple и Citizen Lab.
Быстро возникли догадки о том, что обе уязвимости могут иметь общий источник. Исследователи из компании безопасности Rezillion подтвердили, что обе уязвимости действительно происходят от одной и той же ошибки в библиотеке кода libwebp, которая используется для обработки изображений WebP.
Исследователи раскритиковали Apple, Google и Citizen Lab за то, что они не координировали свои действия и не указали на общий источник уязвимости, предпочитая использовать разные обозначения CVE. Это означает, что «миллионы различных приложений» останутся уязвимыми, пока не будет применено исправление для libwebp. <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Google также подверглась критике за ограничение описания уязвимости только браузером Chrome, не упоминая библиотеку libwebp, которая, как предполагается, также уязвима.</span>
Список программных продуктов, которые интегрируют libwebp и еще не получили исправления, включает такие популярные программы, как Microsoft Teams и Visual Studio Code, а также множество других приложений на базе фреймворка Для просмотра ссылки Войдиили Зарегистрируйся .
Однако многие программные продукты уже были обновлены для устранения этой уязвимости. Среди них:
Исследователи подчеркнули, что неполные раскрытия создают серьезные проблемы для разработчиков, пытающихся определить, уязвимы ли их продукты. Эксперты также предупредили о риске получения ложных результатов при поиске уязвимостей.
Теперь, когда общественность осведомлена о реальной угрозе, разработчики и пользователи должны тщательно проверять программное обеспечение. Если оно взаимодействует с изображениями WebP, его необходимо обновить до версии с исправлениями.
Согласно Для просмотра ссылки Войди
2 недели назад Apple Для просмотра ссылки Войди
Apple указала, что уязвимость, отслеживаемая как Для просмотра ссылки Войди
Через несколько дней Google также Для просмотра ссылки Войди
Быстро возникли догадки о том, что обе уязвимости могут иметь общий источник. Исследователи из компании безопасности Rezillion подтвердили, что обе уязвимости действительно происходят от одной и той же ошибки в библиотеке кода libwebp, которая используется для обработки изображений WebP.
Исследователи раскритиковали Apple, Google и Citizen Lab за то, что они не координировали свои действия и не указали на общий источник уязвимости, предпочитая использовать разные обозначения CVE. Это означает, что «миллионы различных приложений» останутся уязвимыми, пока не будет применено исправление для libwebp. <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Google также подверглась критике за ограничение описания уязвимости только браузером Chrome, не упоминая библиотеку libwebp, которая, как предполагается, также уязвима.</span>
Список программных продуктов, которые интегрируют libwebp и еще не получили исправления, включает такие популярные программы, как Microsoft Teams и Visual Studio Code, а также множество других приложений на базе фреймворка Для просмотра ссылки Войди
Однако многие программные продукты уже были обновлены для устранения этой уязвимости. Среди них:
- Для просмотра ссылки Войди
или Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> (версии для Mac и Linux 116.0.5845.187 и для Windows 116.0.5845.187/.188);</span> - Для просмотра ссылки Войди
или Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> (Firefox версии 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1), Thunderbird (версии 102.15.1 и 115.2.2);</span> - Для просмотра ссылки Войди
или Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> (версия 1.57.64);</span> - Для просмотра ссылки Войди
или Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> (версии 109.0.1518.140, 116.0.1938.81 и 117.0.2045.31);</span> - Для просмотра ссылки Войди
или Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> (версия 12.5.4);</span> - Для просмотра ссылки Войди
или Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> (версия 102.0.4880.46);</span> - Для просмотра ссылки Войди
или Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> (версия 6.2.3105.47);</span> - Операционные системы Для просмотра ссылки Войди
или Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">, </span> Для просмотра ссылки Войдиили Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">, </span> Для просмотра ссылки Войдиили Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">, </span> Для просмотра ссылки Войдиили Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">, </span> Для просмотра ссылки Войдиили Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">, </span> Для просмотра ссылки Войдиили Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">, </span> Для просмотра ссылки Войдиили Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> и </span> Для просмотра ссылки Войдиили Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">.</span>
- Для просмотра ссылки Войди
или Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> – version 7.4;
</span> - Для просмотра ссылки Войди
или Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> – versions 22.3.24, 24.8.3, 25.8.1, 26.2.1 and 27.0.0-beta.2;</span> - Для просмотра ссылки Войди
или Зарегистрируйся <span style="color: #161616; font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> – version 23.9.289;</span> - Для просмотра ссылки Войди
или Зарегистрируйся <span style="color: #161616; font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> – version 6.30.2;</span> - Для просмотра ссылки Войди
или Зарегистрируйся <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));"> – version 5.51.</span>
Исследователи подчеркнули, что неполные раскрытия создают серьезные проблемы для разработчиков, пытающихся определить, уязвимы ли их продукты. Эксперты также предупредили о риске получения ложных результатов при поиске уязвимостей.
Теперь, когда общественность осведомлена о реальной угрозе, разработчики и пользователи должны тщательно проверять программное обеспечение. Если оно взаимодействует с изображениями WebP, его необходимо обновить до версии с исправлениями.
- Источник новости
- www.securitylab.ru
