imágenes falsas
La información incompleta incluida en revelaciones recientes de Apple y Google que informan sobre vulnerabilidades críticas de día cero bajo explotación activa en sus productos ha creado un «gran punto ciego» que está provocando que una gran cantidad de ofertas de otros desarrolladores no se parcheen, dijeron investigadores el jueves.
Hace dos semanas, Apple informó que los actores de amenazas estaban explotando activamente una vulnerabilidad crítica en iOS para poder instalar un software espía de espionaje conocido como Pegasus. Los ataques utilizaron un método de cero clic, lo que significa que no requirieron interacción por parte de los objetivos. Simplemente recibir una llamada o un mensaje de texto en un iPhone fue suficiente para infectarse con Pegasus, que se encuentra entre los programas maliciosos más avanzados conocidos del mundo.
“Gran punto ciego”
Apple dijo que la vulnerabilidad, rastreada como CVE-2023-41064, se debió a un error de desbordamiento del búfer en ImageIO, un marco propietario que permite a las aplicaciones leer y escribir la mayoría de los formatos de archivos de imágenes, que incluyen uno conocido como WebP. Apple atribuyó el descubrimiento del día cero a Citizen Lab, un grupo de investigación de la Escuela Munk de la Universidad de Toronto que sigue los ataques de los estados-nación contra disidentes y otros grupos en riesgo.
Cuatro días después, Google informó de una vulnerabilidad crítica en su navegador Chrome. La compañía dijo que la vulnerabilidad era lo que se conoce como un desbordamiento del búfer de montón que estaba presente en WebP. Google continuó advirtiendo que existía un exploit para la vulnerabilidad. Google dijo que la vulnerabilidad, designada como CVE-2023-4863, fue reportada por el equipo de Ingeniería y Arquitectura de Seguridad de Apple y Citizen Lab.
Rápidamente surgieron especulaciones, incluso por parte mía, de que una gran cantidad de similitudes sugerían fuertemente que el error subyacente para ambas vulnerabilidades era el mismo. El jueves, investigadores de la firma de seguridad Rezillion publicaron evidencia que, según dijeron, hacía «altamente probable» que ambos surgieran del mismo error, específicamente en libwebp, la biblioteca de códigos que las aplicaciones, los sistemas operativos y otras bibliotecas de códigos incorporan para procesar imágenes WebP.
En lugar de que Apple, Google y Citizen Lab coordinaran e informaran con precisión el origen común de la vulnerabilidad, optaron por utilizar una designación CVE separada, dijeron los investigadores. Los investigadores concluyeron que “millones de aplicaciones diferentes” seguirían siendo vulnerables hasta que ellas también incorporaran la solución libwebp. Eso, a su vez, dijeron, impedía que los sistemas automatizados que los desarrolladores utilizan para rastrear vulnerabilidades conocidas en sus ofertas detectaran una vulnerabilidad crítica que está bajo explotación activa.
«Dado que la vulnerabilidad está incluida en el producto general que contiene la dependencia vulnerable, la vulnerabilidad sólo será marcada por escáneres de vulnerabilidad para estos productos específicos», escribieron los investigadores de Rezillion, Ofri Ouzan y Yotam Perkal. «Esto crea un ENORME punto ciego para las organizaciones que confían ciegamente en los resultados de su escáner de vulnerabilidades».
Google ha sido criticado además por limitar el alcance de CVE-2023-4863 a Chrome en lugar de libwebp. Además, la descripción oficial describe la vulnerabilidad como un desbordamiento del búfer de montón en WebP en Google Chrome.
En un correo electrónico, un representante de Google escribió: “Muchas plataformas implementan WebP de manera diferente. No tenemos ningún detalle sobre cómo el error afecta a otros productos. Nuestro objetivo era solucionar el problema de la comunidad de Chromium y de los usuarios afectados de Chromium lo antes posible. Es una buena práctica que los productos de software realicen un seguimiento de las bibliotecas de las que dependen para detectar correcciones y mejoras de seguridad”.
El representante señaló que el formato de imagen WebP se menciona en su divulgación y en la página oficial de CVE. El representante no explicó por qué el CVE oficial y la divulgación de Google no mencionaban la biblioteca libwebp, ampliamente utilizada, o que otro software probablemente también fuera vulnerable.
El representante de Google no respondió a una pregunta sobre si CVE-2023-4863 y CVE-2023-41064 se debían a la misma vulnerabilidad. Citizen Lab y Apple no respondieron a las preguntas enviadas por correo electrónico antes de que se publicara esta historia.