Számos alkalmazást érint a Chrome hibának „indult” libwebp sebezhetőség

A Google két hete javította a CVE-2023-4863 azonosítón jegyzett sebezhetőséget, amelyről biztonsági kutatók később megállapították, hogy annak eredője valójában a széleskörben alkalmazott libwebp nyílt forráskódú programkönyvtár, ami a WebP képformátum kezelésére szolgál.

A libwebp könyvtárat  számos projekt, operációs rendszer és alkalmazás használja, köztük a Signal, a 1Password, a Mozilla Firefox, a Microsoft Edge, az Apple Safari, valamint az Electron nevű keretrendszer, amire Microsoft termékek épülnek (Teams, Visual Studio Code), illetve olyan szoftverekben is megtalálható, mint például a 1Password, a Bitwarden, a GitHub Desktop, vagy a Twitch.

Kiberbiztonsági szakértők szerint kifogásolható, hogy a Google ─ illetve a CVE-2023-41064 számon először az Apple ─ a libwebp hibáját Chrome sérülékenységként tüntette fel, ugyanis ez fals negatív találatokhoz vezethet a sérülékenységvizsgáló szoftverekben.

A Google azóta új CVE azonosító (CVE-2023-5129) bejegyzésével igyekezett javítani a hibát, amit azonban a NIST NVD katalógusába duplikátumra hivatkozva nem vett fel.

(arstechnica.com)