Две недели назад корпорация Google исправила уязвимость нулевого дня, обнаруженную совместно специалистами компании Apple и организации Citizen Lab. Уязвимость получила тогда идентификатор CVE-2023-4863 и была квалифицирована как уязвимость браузера Chrome. Но это решение вызвало серьезную критику со стороны специалистов по кибербезопасности. Дело в том, что фактически уязвимость содержится не в самом браузере Chrome, а в используемой им библиотеке с открытым исходным кодом libwebp, которая служит для обработки изображений в формате WebP.

Неверная атрибуция уязвимости является потенциально весьма опасным решением. Библиотека libwebp используется, например, браузерами Safari, Mozilla Firefox, Microsoft Edge и Opera, мессенджером Signal и многими другими программными продуктами. Соответственно, всем им эта уязвимость угрожает ничуть не в меньшей степени, чем браузеру Chrome. Однако их разработчики, считая, что уязвимость относится именно к Chrome, могут оставаться в неведении относительно угрозы.

К счастью, теперь эта ошибка исправлена. Уязвимость получила новый идентификатор - CVE-2023-5129 и описана именно как уязвимость библиотеки libwebp. Более того, ей присвоен максимальный рейтинг опасности – 10 баллов из 10 возможных. Это означает, что всем компаниям и организациям, стоящим за разработкой и поддержкой программных продуктов, использующих libwebp, необходимо принять самые срочные меры для исправления уязвимости в своем ПО.