Google ha asignado un nuevo identificador CVE (CVE-2023-5129) a una vulnerabilidad de seguridad de libwebp explotada como día cero en ataques y parcheada hace quince días.
En un principio, la empresa reveló el fallo como una debilidad de Chrome, rastreada como CVE-2023-4863, en lugar de atribuirlo a la biblioteca de código abierto libwebp utilizada para codificar y descodificar imágenes en formato WebP.
Este fallo de día cero fue notificado conjuntamente por Apple Security Engineering and Architecture (SEAR) y el Citizen Lab de la Munk School de la Universidad de Toronto el miércoles 6 de septiembre, y corregido por Google menos de una semana después.
Los investigadores de seguridad del Citizen Lab tienen un historial de detección y divulgación de días cero que se han utilizado indebidamente en campañas de espionaje selectivo, a menudo vinculadas a agentes de amenazas respaldados por el Estado y dirigidas principalmente a personas de alto riesgo, como periodistas y políticos de la oposición.
La decisión de etiquetarlo como un fallo de Chrome ha causado confusión en la comunidad de la ciberseguridad, suscitando dudas sobre la elección de Google de clasificarlo como un problema de Google Chrome en lugar de identificarlo como un fallo en libwebp.
El fundador de la consultora de seguridad Ben Hawkes (antiguo jefe del equipo Project Zero de Google) también vinculó la CVE-2023-4863 a la vulnerabilidad CVE-2023-41064 parcheada por Apple el 7 de septiembre y utilizada indebidamente como parte de una cadena de exploits de iMessage sin hacer clic (apodada BLASTPASS) para infectar iPhones totalmente parcheados con el programa espía comercial Pegasus de NSO Group.
Nueva CVE de máxima gravedad
Ahora reconocido oficialmente como un fallo de libwebp, se trata de un desbordamiento del búfer de montón en WebP, que afecta a las versiones de Google Chrome anteriores a la 116.0.5845.187.
Esta vulnerabilidad reside en el algoritmo de codificación Huffman utilizado por libwebp para la compresión sin pérdidas y permite a los atacantes realizar escrituras de memoria fuera de los límites utilizando páginas HTML maliciosamente diseñadas.
Este tipo de exploits puede tener graves consecuencias, desde bloqueos hasta la ejecución de código arbitrario y el acceso no autorizado a información sensible.
La reclasificación de CVE-2023-5129 como una vulnerabilidad de libwebp es de particular importancia, ya que inicialmente pasó desapercibida como una amenaza potencial para la seguridad de muchos proyectos que utilizan libwebp, incluyendo 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera y navegadores web nativos de Android.
La clasificación crítica revisada subraya la importancia de remediar rápidamente la vulnerabilidad de seguridad (que ahora aparece bajo múltiples ID de CVE con diferentes niveles de gravedad) en estas plataformas para garantizar la seguridad de los datos de los usuarios.
Un portavoz de Google no estaba disponible para hacer comentarios cuando BleepingComputer se puso en contacto con él a primera hora de hoy.
