Google LLC, la Mozilla Foundation e altri produttori di browser stanno rilasciando in queste ore patch per correggere una seria falla di sicurezza (zero-day vulnerability) che colpisce il formato di immagine WebP.
Una “vulnerabilità zero-day” (zero-day vulnerability) è una vulnerabilità informatica critica in un sistema, un’applicazione o un software che è stata scoperta dagli aggressori informatici e sfruttata per scopi malevoli prima che il produttore o il fornitore del software ne sia a conoscenza o abbia avuto il tempo di sviluppare e rilasciare una patch o un aggiornamento per risolvere il problema.
WebP è un formato di immagine sviluppato da Google che è stato introdotto nel 2010. L’obiettivo principale di WebP è offrire un formato di immagine più efficiente in termini di compressione e qualità rispetto ad altri formati di immagine ampiamente utilizzati come JPEG, PNG e GIF. WebP utilizza algoritmi di compressione avanzati per ridurre la dimensione dei file delle immagini senza compromettere significativamente la qualità visiva. Questo rende WebP particolarmente utile per siti web e applicazioni che desiderano ridurre i tempi di caricamento delle immagini. La maggior parte delle immagini che vedi nel nostro sito per esempio sono in WebP. In molti casi, questa compressione può superare il 30%.
Si ritiene che gli hacker stiano sfruttando attivamente questa falla per lanciare cyberattacchi. Google ha attribuito al team Apple Security Engineering and Architecture (SEAR) il merito di aver scoperto e segnalato la falla di sicurezza.
Google ha già rilasciato una patch per Chrome per correggere l’implementazione di WebP integrata nel popolare browser. La Mozilla Foundation ha fatto lo stesso con un aggiornamento di Firefox. Questa mattina anche Microsoft Corp. ha rilasciato una patch WebP per Edge.
Brave Software Inc. e Vivaldi Technologies AS, Opera e altri produttori di browser, hanno anch’essi rilasciato aggiornamenti questa settimana dopo aver determinato che le loro applicazioni sono state colpite. Inoltre, si ritiene che l’impatto della vulnerabilità di WebP possa estendersi oltre l’ecosistema dei browser. Il formato di immagine è supportato da oltre una dozzina di strumenti di progettazione grafica e da applicazioni di produttività come LibreOffice.
La seria falla di sicurezza di WebP è identificata come CVE-2023-4863. È classificata come Critica, il livello di gravità più alto per una vulnerabilità del software.
La seria falla di sicurezza, CVE-2023-4863, è un overflow del buffer di heap in libwebp , una libreria open source sviluppata da Google che elabora immagini WebP.
Qualora non lo sapessi, CVE è l’acronimo di “Common Vulnerabilities and Exposures,” che tradotto in italiano significa “Vulnerabilità e esposizioni comuni.” Si tratta di uno standard internazionale per identificare e riferire le vulnerabilità informatiche e le esposizioni comuni nelle informazioni relative alla sicurezza. Il sistema CVE è gestito da una organizzazione senza scopo di lucro chiamata “The MITRE Corporation” ed è ampiamente utilizzato nell’industria della sicurezza informatica e nelle comunità di sviluppatori software . Ad ogni vulnerabilità o esposizione comune identificata, viene assegnato un numero univoco chiamato “CVE ID” o “CVE Number.” Questo numero viene utilizzato per riferirsi in modo inequivocabile a una specifica vulnerabilità. In questo caso il CVE ID è CVE-2023-4863 e puoi consultarlo a questo link.
Google non ha fornito dettagli tecnici sulla nuova vulnerabilità di WebP appena scoperta. “L’accesso ai dettagli dei bug e ai collegamenti potrebbe essere limitato finché la maggior parte degli utenti non verrà aggiornata con una correzione“, ha dichiarato l’azienda. Tuttavia, Google ha rivelato che la vulnerabilità coinvolge un tipo di errore di memoria noto come overflow del buffer dell’heap.
I browser e altri programmi ricevono una memoria allocata per l’uso in calcoli dall’operating system su cui operano. All’avvio, un’applicazione divide la memoria ricevuta in cosiddetti segmenti. Ciascun segmento contiene una piccola parte dei dati dell’applicazione.
Un buffer overflow si verifica quando vengono inseriti più dati in un segmento di memoria di quanto possa ospitare. In tali situazioni, i dati in eccesso sovrascrivono le informazioni memorizzate nei segmenti di memoria adiacenti. Gli hacker possono sfruttare questo fenomeno per sovrascrivere componenti sensibili di un programma con codice maligno.
La seria falla di sicurezza di overflow del buffer in WebP colpisce una parte della memoria dei programmi nota come heap. Di solito conserva dati che un’applicazione utilizza per un periodo prolungato. Altri tipi di risorse dati sono conservati nella cosiddetta stack, una parte della memoria dei programmi con caratteristiche tecniche diverse.
Le vulnerabilità di overflow del buffer vengono scoperte nei browser popolari di tanto in tanto. Lo scorso novembre per esempio Google ha risolto una vulnerabilità simile nella versione desktop di Chrome. Alcuni mesi prima, era stata trovata una problematica di overflow del buffer.
