Vulnerabilità critica in WebP: tutti i browser (e non solo) da aggiornare
Il 6 settembre Apple Security Engineering and Architecture (SEAR) e The Citizen Lab dell’Università di Toronto hanno segnalato una vulnerabilità critica (CVE-2023-4863), che riguarda una libreria di compressione delle immagini utilizzata in Chromium e in altri software che supportano le immagini WebP. WebP è un formato di immagine che offre una compressione superiore per le immagini sul web. Grazie a WebP, gli sviluppatori e i webmaster hanno la possibilità di generare immagini più compatte e di alta qualità, il che comporta un significativo miglioramento della velocità di caricamento delle pagine web.
Google ha sviluppato una libreria open source per la manipolazione delle immagini in formato WebP, nota come Libwebp, che fornisce strumenti e funzionalità per la codifica e la decodifica delle immagini in questo formato. La vulnerabilità CVE-2023-4863 si trova proprio in questa libreria, in particolare nella funzione BuildHuffmanTable utilizzata per convalidare i dati di input.
Il problema risiede nel fatto che questa funzione alloca memoria extra se la tabella esistente non è abbastanza grande per i dati di input, consentendo la scrittura di dati arbitrari al di fuori dei limiti impostati in memoria, durante l’elaborazione di un’immagine WebP dannosa, che può portare all’esecuzione di codice arbitrario. Questa vulnerabilità non riguarda solo i browser basati su Chromium (Google Chrome, Microsoft Edge, Opera, Vivaldi, Brave ecc.) ma anche applicazioni come Thunderbird, Honeyview, Signal Electron, Affinity, Gimp, Inkscape, LibreOffice, Telegram, ffmpeg e 1Password. In realtà (ed è la cosa più preoccupante), ogni sistema operativo, ogni app e ogni dispositivo compatibile con il formato WebP usa questa libreria ed è quindi facile capire l’enorme numero di software interessati.
Il team di Chromium ha già segnalato lo sfruttamento di questo zero-day in the wild, quindi si raccomanda di aggiornare i prodotti interessati il prima possibile. La soluzione principale consiste nell’aggiornare urgentemente i prodotti interessati alle nuove versioni rilasciate che correggono questa vulnerabilità.
Di seguito sono elencate alcune delle versioni del software che correggono la vulnerabilità:
- Google Chrome: Ver. 116.0.5845.187 (Mac e Linux), Ver. 116.0.5845.187/.188 (Windows)
- Mozilla Firefox: Ver. 117.0.1, Ver. ESR 102.15.1, Ver. ESR 115.2.1
- Thunderbird: Ver. 102.15.1, Ver. 115.2.2
- Microsoft Edge: Ver. 116.0.1938.81
- Brave: Ver. 1.58.124
- Opera: Ver. 102.0.4880.51
- Vivaldi: Ver. 6.2
- Honeyview: Ver. 5.51
La maggior parte dei prodotti interessati ha gli aggiornamenti automatici abilitati per impostazione predefinita, quindi l’unico requisito è il riavvio dell’applicazione. In caso contrario, la patch deve essere applicata manualmente il prima possibile. È importante ricordare che l’elenco dei prodotti interessati continua a crescere ogni giorno, quindi si consiglia di tenere d’occhio i futuri aggiornamenti di questa vulnerabilità. Resta il fatto che al momento di scrivere (per i motivi sopra citati) ci sono ancora tantissimi software di primissimo livello che utilizzano Libwebp e che ancora non sono stati aggiornati.