Google、libwebpの脆弱性に新たなCVEを割り当て:CVE-2023-5129
Googleが、攻撃でゼロデイとして悪用されていたlibwebpの脆弱性に新たなCVE識別番号(CVE-2023-5129)を割り当てた。この脆弱性は当初「Chromeの脆弱性CVE-2023-4863」として開示され、9月11日に修正されていたもの。CVE識別番号に加え、CVSSスコアも「8.8」から満点の「10.0」へと変更されている。
当初は「Chromeの脆弱性」
9月11日、GoogleはCVE-2023-4863をChromeにおけるWebPのヒープバッファオーバーフローの脆弱性として開示し、緊急セキュリティアップデートによって対処した。この際同社は、エクスプロイトが出回っていることや、報告者がアップルのSecurity Engineering and Architecture(SEAR)とCitizen Labであることなどについては触れつつも、脆弱性の詳細や攻撃の詳細に関する情報は明かさなかった。
しかしこれを「libwebpの脆弱性」ではなく「Chromeの脆弱性」としたGoogleの決定をめぐっては、サイバーセキュリティコミュニティ内で疑問の声が上がっていたという。
正式に「libwebpの脆弱性」へ
こうした過程を経て、脆弱性は新たなCVE識別番号(CVE-2023-5129)を割り当てられ、「libwebpの脆弱性」として正式に認識されることとなった。この脆弱性は、libwebpによって用いられるハフマン符号アルゴリズム内に存在している。攻撃者が細工されたHTMLページを使ってこの脆弱性を悪用すると、境界外書き込みを可能にする恐れがあるという。
BleepingComputerは、このようなタイプの悪用はクラッシュ、任意コードの実行、機微情報への不正アクセスといった深刻な影響を招く可能性があると指摘している。
libwebpを用いる他のプロジェクトにとって重大な意味を持つ可能性
libwebpはWebP形式の画像をエンコード/デコードするのに使われるオープンソースのライブラリで、1Password、Signal、Safari、Mozilla Firefox、Microsoft Edge、Opera、AndroidのネイティブWebブラウザといった多数のプロジェクトで使用されている。今回の脆弱性の分類変更は、こうしたプロジェクトにとって重大な意味を持つ可能性があるとされる。またCVSSスコアも満点へと引き上げられていることから、上記のようなプロジェクトにおける早急な脆弱性対応の重要性も浮き彫りになっている。
(情報源:BleepingComputer “Google assigns new maximum rated CVE to libwebp bug exploited in attacks”)