Kritická aktívne zneužívaná zraniteľnosť v prehliadačoch a aplikáciách

AKTUALIZÁCIA 27.9.2023 23:40: Doplnený zoznam zraniteľných aplikácií

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred kritickou bezpečnostnou zraniteľnosťou populárnej knižnice libwebp, ktorá umožňuje vzdialené vykonanie akéhokoľvek kódu. Zraniteľnosť dosiahla maximálne CVSS skóre 10.0. Knižnica sa nachádza v tisíckach aplikácií na všetkých operačných systémoch.

Ako zraniteľnosť funguje a čoho sa týka?

Knižnica libwebp umožňuje aplikáciám čítať a zapisovať súbory vo formáte webp. Podporu pre tento formát potrebujú webové prehliadače, aplikácie na komunikáciu a ako závislosť druhej úrovne sa vyskytuje vo väčšine aplikácií, ktoré z akéhokoľvek dôvodu zobrazujú HTML obsah. Keďže sa jedná o knižnicu, ktorá je de-facto štandardom pre prácu s týmto formátom, množstvo zasiahnutých aplikácií je enormné.

Zneužitie zraniteľnosti je veľmi jednoduché. Útočníkovi stačí podvrhnúť špeciálne pripravený škodlivý súbor vo WEBP formáte. V okamihu, keď ho aplikácia začne načítavať dôjde k vykonaniu útočníkom podvrhnutého kódu na zariadení obete, a to bez nutnosti akéhokoľvek potvrdenia alebo interakcie zo strany používateľa. V závislosti od aplikácie to môže nastať už v okamihu doručenia správy, skôr než si ju používateľ aktívne otvorí.

Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi a existuje Proof of Concept kód, čo útočníkom zneužívanie zraniteľnosti ešte viac uľahčuje.

Zraniteľnosť je označená pod CVE-2023-5129 a ako sme spomenuli vyššie, zraniteľnosť dosiahla maximálne možné CVSS skóre 10.0. Knižnica je zraniteľná vo verziách novších ako 0.5.0 a starších ako 1.3.2.

Zasiahnuté systémy

Knižnica sa používa ako na desktopových operačných systémoch (vrátane Windows, Linux, MacOS), tak aj na mobilných zariadeniach  (Android, iOS). Medzi zasiahnuté aplikácie patria:

  • Basecamp 3
  • Beaker (webový prehliadač)
  • Bitwarden
  • Brave
  • CrashPlan
  • Cryptocat (ukončená podpora)
  • Discord
  • Eclipse Theia
  • FreeTube
  • GitHub Desktop
  • GitKraken
  • Chrome
  • všetky prehliadače na založené na platforme Chromium
  • Joplin
  • Keybase
  • Lbry
  • LibreOffice
  • Light Table
  • Logitech Options +
  • LosslessCut
  • Mattermost
  • Microsoft Edge
  • Microsoft Teams
  • MongoDB Compass
  • Mozilla
  • Mullvad
  • NixOS
  • Notion
  • Obsidian
  • QQ (pre macOS)
  • Quasar Framework
  • Shift
  • Signal
  • Skype
  • Slack
  • Suse
  • Symphony Chat
  • Tabby
  • Termius
  • TIDAL
  • Tor Browser
  • Twitch
  • Ubuntu
  • Visual Studio Code
  • Vivaldi
  • WebTorrent
  • Wire
  • Yammer
  • Opera

Zoznam aplikácií nie je konečný a týka sa všetkých aplikácií, ktoré danú knižnicu využívajú.

Medzi zasiahnuté je možné pripočítať aj obrovské množstvo dockerových kontajnerov, ktoré sú založené na niektorej z distribúcií v ktorých je táto knižnica predinštalovaná. Nemusí byť však využívaná softvérom, ktorý je v kontajneri prevádzkovaný. Pre bežného používateľa kontajnera je však takmer nemožné túto informáciu potvrdiť či vyvrátiť, preto aj tu odporúčame obozretnosť a aktualizáciu obrazov (image) dockerových kontajerov.

Odporúčania

Nakoľko ide o zraniteľnosť knižnice ako jedného z komponentov aplikácie, opravenú verziu knižnice musí implementovať do svojich produktov každý výrobca, ktorý danú knižnicu využíva.

Národné centrum kybernetickej bezpečnosti SK-CERT preto odporúča:

  • sledovať informácie od výrobcov aplikácií, ktoré používate a ihneď po vydaní najnovšej bezpečnostnej aktualizácie túto prevziať a nainštalovať. Preverte si, či najnovšia bezpečnostná aktualizácia aplikácie obsahuje aj opravu zraniteľnej knižnice.
  • Do času vydania bezpečnostnej aktualizácie na zasiahnuté aplikácie obmedzte ich používanie a využite alternatívy, ktoré uvedenú knižnicu nepoužívajú.
  • V prípade zariadení s citlivým obsahom odporúčame dočasne odinštalovať aplikácie na rýchlu komunikáciu (instant messaging) do opravy chyby
  • V prípade vzniku incidentu, ktorý by mohol mať súvis s touto zraniteľnosťou, ho nahláste Národnému centru kybernetickej bezpečnosti SK-CERT na adrese [email protected]

Zdroje


« Späť na zoznam