В последнем обновлении браузера Chrome устранена уязвимость нулевого дня, выявленная экспертами Apple и The Citizen Labs. По-видимому, она настолько критична, что Google воздерживается от публикации подробностей. Проблема в том, что хакеры уже вовсю ею пользуются. Об этом сообщают СМИ.
Google выпустил экстренные обновления для новой уязвимости нулевого дня в браузере Chrome, уже четвёртой с начала этого года.
Критическая уязвимость, получившая название CVE-2023-4863, относится к классу Heap buffer overflow (переполнение буфера кучи) в WebP.
Кучей (Heap) называют структуру данных, с помощью которой реализована динамически распределяемая память приложения. Размер кучи — это размер памяти, выделенный под неё операционной системой.
Уязвимость переполнения буфера на основе кучи возникает, когда программа записывает в буфер памяти, выделенный под кучу, больше данных, чем буфер способен хранить. Переполнение чревато перезаписью смежных ячеек памяти и повреждением данные.
В некоторых случаях это также может привести к возможности выполнять произвольный код в уязвимой системе удалённо.
Ошибка возникает, когда программа не способна адекватно проверять размер предоставленных пользователем данных перед копированием их в выделенный из кучи буфер.
Чтобы предотвратить подобное, необходимо реализовывать надлежащую проверку входных данных и границ буфера, а также использовать безопасные для памяти методы программирования, например, использовать языки, которые автоматически управляют памятью.
Что касается WebP, то это формат растровых изображений, который был создан в Google на замену куда более распространённым форматам — JPEG, PNG и GIF. Помимо анимации и прозрачности он поддерживает сжатие изображения без потери качества.
Уязвимость связана с использованием сторонней библиотеки, и к ней есть активно используемый эксплойт. Других подробностей Google пока не представил из соображений безопасности пользователей.
«Исходя из того, что речь идёт о переполнении буфера на основе кучи в графическом файле, можно сделать определённые выводы о способах эксплуатации, — говорит директор по информационной безопасности компании SEQ Анастасия Мельникова. — Скорее всего, будет использовано специально подготовленное изображение, которое будет заведомо переполнять буфер памяти в компоненте Chrome, ответственном за обработку WebP. Целью же определённо будет запуск произвольного кода в контексте Chrome с перспективой внедрения вредоносного ПО в подлежащую операционную систему».
«Баг» обнаружили специалисты по кибершпионажу
Любопытно, что информацию об уязвимости в Google предоставили эксперты группы по безопасности, разработкам и архитектуры Apple (Apple — Security Engineering and Architecture, SEAR), а также исследователи The Citizen Lab (при Школе Мунка — подразделении Университета Торонто в Канаде).
Эксперты The Citizen Lab неоднократно обнаруживали уязвимости нулевого дня, которыми пользовались аффилированные со спецслужбами хакеры при узконаправленных шпионских кибератаках.
Не далее как на прошлой неделе Apple объявила об устранении двух уязвимостей нулевого дня уже в своих собственных продуктах. Эти «баги» использовались в цепочке эксплойтов BLASTPASS, которые позволяли устанавливать на iPhones печально знаменитое шпионское ПО NSO Pegasus. В том числе на те смартфоны, на которые были установлены все официальные обновления.