Libwebp նկարների գրադարանում անվտանգության կրիտիկական խոցելիության շտկման համար Google-ը նոր CVE identifier է հատկացրել: Գրադարանում նկարները render են արվում WebP format-ով, ինչն էլ վերջին շրջանում լայն շրջանակում ակտիվորեն չարաշավում է:
Վերլուծությունների և ուսումնասիրությունների շղթան սկսվեց այն ժամանակ, երբ Apple-ը, Google-ը և Mozilla-ն թողարկեցին համապատասխան շտկումներ, որոնք bug-եր էին պարունակում և առնչվում էին CVE-2023-41064-ին և CVE-2023-4863-ին: Ենթադրվում է, որ երկու խոցելիություններն էլ անդրադառնում են գրադարանի նույն հիմնական խնդրին:
Համաձայն Citizen Lab-ի, որպես zero-click iMessage-ի շահագործման շղթայի մի մաս, CVE-2023-41064-ը շղթայված է եղել 2023-41061-ի հետ և կոչվում է BLASTPASS: Իրականում այն լրտեսական ծրագիր է, որը շուկայում հայտնի է որպես Pegasus: Լրացուցիչ տեխնիկական մանրամասները դեռևս անհայտ են մնում։
Ընթացքում Google-ը ընդլայնեց CVE-2023-4863-ի շտկումների շրջանակը՝ ChromeOS-ի համար ներառելով Stable channel-ը և ChromeOS Flex-ի՝ 15572.50.0 տարբերակը (browser-ի տարբերակը՝ 117.0.5938.115):
Սա առնչվում է նաև Google Project Zero-ի կողմից հրապարակված նոր մանրամասներին, որոնք առնչվում են լրտեսող ծրագրերի մատակարարների կողմից Samsung-ի Android սարքերում CVE-2023-0266 և CVE-2023-26083 խոցելիությունների շահագործմանը:
Ենթադրվում է, որ չարաշահվող խոցելիություններն օգտագործվել են այլ խոցելիությունների հետ մեկտեղ՝ CVE-2022-4262, CVE-2022-3038, CVE-2022-22706:
«Հատկապես ուշագրավ է այն փաստը, որ հաքերը ստեղծել է շահագործման նոր շղթա՝ չարաշահելով kernel GPU driver-ում առկա բազմաթիվ bug-երի փաստը», – նշում է անվտանգության գծով փորձագետ՝ Սեթ Ջենկինսը:
Աղբյուրը՝ https://thehackernews.com/