Le recenti divulgazioni di Apple e Google riguardanti vulnerabilità zero-day critiche attivamente sfruttate nei loro prodotti hanno creato un “enorme punto cieco”. Questo ha portato a un gran numero di prodotti di altri sviluppatori a rimanere non corretti, come riferito dai ricercatori.
Dettagli delle vulnerabilità
Due settimane fa, Apple ha rivelato che gli attori minacciosi stavano sfruttando attivamente una vulnerabilità critica in iOS per installare un spyware di spionaggio noto come Pegasus. Gli attacchi utilizzavano un metodo zero-click, il che significa che non richiedevano alcuna interazione da parte delle vittime. Ricevere una chiamata o un messaggio su un iPhone era sufficiente per essere infettati da Pegasus, uno dei malware più avanzati al mondo.
Apple ha identificato la vulnerabilità come CVE-2023-41064, derivante da un bug di buffer overflow in ImageIO, un framework proprietario che consente alle applicazioni di leggere e scrivere la maggior parte dei formati di file immagine, incluso WebP. Apple ha attribuito la scoperta del zero-day a Citizen Lab, un gruppo di ricerca dell’Università di Toronto che monitora gli attacchi di stati-nazione contro dissidenti e altri gruppi a rischio.
Pochi giorni dopo, Google ha segnalato una vulnerabilità critica nel suo browser Chrome. Google ha descritto la vulnerabilità come un heap buffer overflow presente in WebP e ha avvertito che esisteva un exploit per la vulnerabilità nel wild. Google ha indicato che la vulnerabilità, designata come CVE-2023-4863, è stata segnalata dal team di Apple Security Engineering e Architecture e da Citizen Lab.
Connessioni tra le vulnerabilità
Si è rapidamente speculato che ci fossero molte somiglianze che suggerivano che il bug sottostante per entrambe le vulnerabilità fosse lo stesso. I ricercatori della società di sicurezza Rezillion hanno pubblicato prove che, secondo loro, rendevano “altamente probabile” che entrambe derivassero dallo stesso bug, specificamente in libwebp, la libreria di codice che le app, i sistemi operativi e altre librerie di codice incorporano per elaborare le immagini WebP. Invece di coordinarsi e segnalare correttamente l’origine comune della vulnerabilità, hanno scelto di utilizzare una designazione CVE separata.
Implicazioni per gli sviluppatori
I ricercatori hanno concluso che “milioni di diverse applicazioni” rimarrebbero vulnerabili fino a quando non avessero incorporato la correzione di libwebp. Questo, a loro dire, stava impedendo ai sistemi automatizzati utilizzati dagli sviluppatori per monitorare le vulnerabilità note nei loro prodotti di rilevare una vulnerabilità critica attivamente sfruttata.
Mentre le vulnerabilità zero-day continuano a emergere, le divulgazioni incomplete da parte di giganti tecnologici come Apple e Google possono creare sfide significative per gli sviluppatori e mettere a rischio gli utenti. È essenziale che le aziende collaborino e condividano informazioni complete per garantire una risposta efficace alle minacce.