Krytyczna luka bezpieczeństwa w przeglądarkach, narażeni są wszyscy użytkownicy. Wyjaśniamy, jakie podjąć kroki
Zdarzają się w cyberbezpieczeństwie takie incydenty, które dotyczą nie konkretnych programów czy usług, lecz pojedynczych ich komponentów. Działa tu jednak efekt skali i okazuje się, że ów komponent – niewielka biblioteka czy mikrousługa – jest wykorzystywana przez ogromną liczbę witryn czy programów, przez co okazuje się, że podatnych na atak jest 50% wszystkich aplikacji. Tak było choćby w minionym roku przypadku problemów z Apache Log4j. Tak niestety dzieje się znowu.
Krytyczna podatność kodeka WebP
Choć odnaleziona podatność nie ma jeszcze klasyfikacji CVSS w bazie NIST, to na potrzeby projektu Chromium obliczono już, że mamy do czynienia z krytyczną luką bezpieczeństwa. Może się jednak okazać, że to nie poziom zagrożenia stanowi w tym przypadku największy problem, lecz jego skala – podatność tkwi w kodeku WebP, z którego korzystają najpopularniejsze przeglądarki internetowe, ale też aplikację quasi-pulpitowe wykorzystujące frameworki pozwalające renderować grafikę z użyciem silników Chromium.
Podatność CVE-2023-4863, bo o niej mowa, tkwi w kodeku WebP. Jest oprogramowanie pozwalające na wyświetlanie grafik w tym formacie. W ciągu ostatnich lat WebP stało się standardem – jest stosowane na coraz większej liczbie witryn, przede wszystkim za sprawą świetnej kompresji. Można powiedzieć, że stosowanie WebP przez frontendowców stało się już branżową dobrą praktyką. Często irytuje to użytkowników, którzy chcąc pobrać obrazek z witryny, muszą najpierw dokonać konwersji, bo WebP nadal nie jest obsługiwany na przykład przez domyślną przeglądarkę grafik Windowsa.
Wadliwa aktualizacja Windowsa. System w ogóle się nie uruchamia. Jak temu zapobiec?Co poszło nie tak?
Skoro WebP stało się standardem, to nietrudno sobie wyobrazić, że podatność naraża na szwank cyberbezpieczeństwo w zasadzie wszystkich internatów, czyli około 65% światowej populacji. Dzieje się tak przede wszystkim za sprawą tego, że podatny kodek wykorzystywany jest przez przeglądarki internetowe, zarówno desktopowe, jak i mobilne. Podatny jest Chrome, Firefox oraz wszystkie przeglądarki bazujące na Chromium, m.in. Edge, Opera, Brave, Vivaldi. Problem może występować też w klientach pulpitowych, np. aplikacjach Slack, Visual Studio Code, Microsoft Teams i wielu innych.
Problem wywołała funkcja BuildHuffmanTable, która służy do weryfikacji zgodności tablic danych. Rzecz w tym, że funkcja ta może prowadzić do nieodpowiedniej alokacji danych w pamięci, jeśli tablica jest zbyt mała. Wystarczy, że napastnik dostarczy odpowiednio spreparowany plik w formacie WebP, którego BuildHuffmanTable nie będzie mógł przetworzyć. Wówczas chodzi do przepełnienia stosu pamięci, w którego konsekwencji może dojść do eskalacji uprawnień, opuszczenia piaskownicy procesu i przejęcia kontroli nad systemem. Stąd już prosta droga do kradzieży danych czy dystrybucji złośliwego oprogramowania.
Jak reagować?
Dobre wieści są takie, że luka została już załatana w we wszystkich narażonych na atak przeglądarkach. Po stronie użytkowników pozostaje zatem jedyna akcja – należy jak najszybciej zaktualizować przeglądarkę internetową. Nie ma jak dotąd informacji o tym, aby podatność była aktywnie wykorzystywana przez hakerów, niemniej zdarzy się tak prędzej czy później. Najnowsza, załatana wersja Chrome została oznaczona jako 117.0.5938.63. W przypadku Firefoksa jest to wersja 117.0.1.
