Google、攻撃で悪用されたlibwebpのバグに最高レベルのCVEを割り当てる

セキュリティメディアの「BleepingComputer」によると、Googleは2週間前にゼロデイ攻撃として悪用された libwebp のセキュリティ脆弱性に、新たなCVE ID（CVE-2023-5129）を割り当てたそうです。最初は、当脆弱性をWebP形式の画像のエンコード・デコードに使用されるオープンソースのlibwebpライブラリに割り当てるのではなく、CVE-2023-4863として追跡されるChromeの脆弱性として公開しました。

しかし、当ゼロデイバグは、9月6日（水）にApple Security Engineering and Architecture（SEAR）とトロント大学Munk Schoolのシチズン・ラボ（Citizen Lab）によって共同で報告され、1週間も経たないうちにGoogleによって修正されました。シチズン・ラボのセキュリティ研究者は、主にメディアの関係者や野党の政治家などを対象にする標的型スパイウェア・キャンペーンに悪用されたゼロデイを検出し、明らかにしてきた実績があります。彼らはGoogleがlibwebpの欠陥をChromeのバグとして分類したことで混乱ができたと指摘しました。

しかし、現在は別のCVE ID、CVE-2023-5129が割り当てられ、libwebpの重大な問題として、最大10点のCVEスコアリングが付けられています。このような変更は、libwebpオープンソースライブラリを使用している他のプロジェクトにも重大な影響を与えます。現在、正式的にlibwebpの欠陥として認識され、116.0.5845.187より前のGoogle Chromeのバージョンに影響を与えるWebPのヒープバッファオーバーフローを含くめています。つまり、当脆弱性は、libwebpがHuffmanのコーディングアルゴリズム内に存在し、攻撃者が悪意的に偽装されたHTMLページを利用して境界外のメモリ書き込みを実行することができるようにします。任意のコード実行、機密情報への不正アクセスに至るまで、深刻な結果をもたらす可能性があります。

CVE-2023-5129がlibwebpの脆弱性として再分類されたことは、1Password、Signal、Safari、Mozilla Firefox、Microsoft Edge、Opera、およびAndroidのネイティブウェブブラウザを含めて、libwebpを使用している多くのプロジェクトにとって潜在的なセキュリティ脅威として当初は気づかれていなかったため、特に重要な意味を持っています。修正されたCVEスコアは、ユーザーのデータ・セキュリティを確保するために、これらのプラットフォーム全体でセキュリティ脆弱性に迅速に対処することの重要性を強調します。