Oficiálna stránka SK

Doména gov.sk je oficálna

Toto je oficiálna webová stránka orgánu verejnej moci Slovenskej republiky. Oficiálne stránky využívajú najmä doménu gov.sk. Odkazy na jednotlivé webové sídla orgánov verejnej moci nájdete na tomto odkaze.

Táto stránka je zabezpečená

Buďte pozorní a vždy sa uistite, že zdieľate informácie iba cez zabezpečenú webovú stránku verejnej správy SR. Zabezpečená stránka vždy začína https:// pred názvom domény webového sídla.

Kritická aktívne zneužívaná zraniteľnosť v prehliadačoch a aplikáciách

AKTUALIZÁCIA 27.9.2023 23:40: Doplnený zoznam zraniteľných aplikácií

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred kritickou bezpečnostnou zraniteľnosťou populárnej knižnice libwebp, ktorá umožňuje vzdialené vykonanie akéhokoľvek kódu. Zraniteľnosť dosiahla maximálne CVSS skóre 10.0. Knižnica sa nachádza v tisíckach aplikácií na všetkých operačných systémoch.

Ako zraniteľnosť funguje a čoho sa týka?

Knižnica libwebp umožňuje aplikáciám čítať a zapisovať súbory vo formáte webp. Podporu pre tento formát potrebujú webové prehliadače, aplikácie na komunikáciu a ako závislosť druhej úrovne sa vyskytuje vo väčšine aplikácií, ktoré z akéhokoľvek dôvodu zobrazujú HTML obsah. Keďže sa jedná o knižnicu, ktorá je de-facto štandardom pre prácu s týmto formátom, množstvo zasiahnutých aplikácií je enormné.

Zneužitie zraniteľnosti je veľmi jednoduché. Útočníkovi stačí podvrhnúť špeciálne pripravený škodlivý súbor vo WEBP formáte. V okamihu, keď ho aplikácia začne načítavať dôjde k vykonaniu útočníkom podvrhnutého kódu na zariadení obete, a to bez nutnosti akéhokoľvek potvrdenia alebo interakcie zo strany používateľa. V závislosti od aplikácie to môže nastať už v okamihu doručenia správy, skôr než si ju používateľ aktívne otvorí.

Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi a existuje Proof of Concept kód, čo útočníkom zneužívanie zraniteľnosti ešte viac uľahčuje.

Zraniteľnosť je označená pod CVE-2023-5129 a ako sme spomenuli vyššie, zraniteľnosť dosiahla maximálne možné CVSS skóre 10.0. Knižnica je zraniteľná vo verziách novších ako 0.5.0 a starších ako 1.3.2.

Zasiahnuté systémy

Knižnica sa používa ako na desktopových operačných systémoch (vrátane Windows, Linux, MacOS), tak aj na mobilných zariadeniach  (Android, iOS). Medzi zasiahnuté aplikácie patria:

  • Basecamp 3
  • Beaker (webový prehliadač)
  • Bitwarden
  • Brave
  • CrashPlan
  • Cryptocat (ukončená podpora)
  • Discord
  • Eclipse Theia
  • FreeTube
  • GitHub Desktop
  • GitKraken
  • Chrome
  • všetky prehliadače na založené na platforme Chromium
  • Joplin
  • Keybase
  • Lbry
  • LibreOffice
  • Light Table
  • Logitech Options +
  • LosslessCut
  • Mattermost
  • Microsoft Edge
  • Microsoft Teams
  • MongoDB Compass
  • Mozilla
  • Mullvad
  • NixOS
  • Notion
  • Obsidian
  • QQ (pre macOS)
  • Quasar Framework
  • Shift
  • Signal
  • Skype
  • Slack
  • Suse
  • Symphony Chat
  • Tabby
  • Termius
  • TIDAL
  • Tor Browser
  • Twitch
  • Ubuntu
  • Visual Studio Code
  • Vivaldi
  • WebTorrent
  • Wire
  • Yammer
  • Opera

Zoznam aplikácií nie je konečný a týka sa všetkých aplikácií, ktoré danú knižnicu využívajú.

Medzi zasiahnuté je možné pripočítať aj obrovské množstvo dockerových kontajnerov, ktoré sú založené na niektorej z distribúcií v ktorých je táto knižnica predinštalovaná. Nemusí byť však využívaná softvérom, ktorý je v kontajneri prevádzkovaný. Pre bežného používateľa kontajnera je však takmer nemožné túto informáciu potvrdiť či vyvrátiť, preto aj tu odporúčame obozretnosť a aktualizáciu obrazov (image) dockerových kontajerov.

Odporúčania

Nakoľko ide o zraniteľnosť knižnice ako jedného z komponentov aplikácie, opravenú verziu knižnice musí implementovať do svojich produktov každý výrobca, ktorý danú knižnicu využíva.

Národné centrum kybernetickej bezpečnosti SK-CERT preto odporúča:

  • sledovať informácie od výrobcov aplikácií, ktoré používate a ihneď po vydaní najnovšej bezpečnostnej aktualizácie túto prevziať a nainštalovať. Preverte si, či najnovšia bezpečnostná aktualizácia aplikácie obsahuje aj opravu zraniteľnej knižnice.
  • Do času vydania bezpečnostnej aktualizácie na zasiahnuté aplikácie obmedzte ich používanie a využite alternatívy, ktoré uvedenú knižnicu nepoužívajú.
  • V prípade zariadení s citlivým obsahom odporúčame dočasne odinštalovať aplikácie na rýchlu komunikáciu (instant messaging) do opravy chyby
  • V prípade vzniku incidentu, ktorý by mohol mať súvis s touto zraniteľnosťou, ho nahláste Národnému centru kybernetickej bezpečnosti SK-CERT na adrese [email protected]

Zdroje


« Späť na zoznam