Google, retromarcia su vulnerabilità zero-day: più critica del previsto

Senza dar troppo nell’occhio Google ha presentato nuovamente la documentazione rispetto a una vulnerabilità zero-day rivelata negli scorsi giorni.

Se questo exploit era stato presentato come limitato al browser Chrome, infatti, in realtà interessa migliaia di singole app e framework. A dispetto di una prima patch proposta all’utenza, dunque, Google ha dovuto fare marcia indietro e chiarire meglio l’entità di questa falla di sicurezza.

La vulnerabilità ha origine nella libreria di codici libwebp, che Google ha creato nel 2010 per il rendering delle immagini in webp. Stiamo parlando di un formato allora innovativo,  capace di produrre file fino al 26% più piccoli rispetto alle classiche immagini PNG.

Libwebp è incorporato praticamente in ogni app, sistema operativo o altra libreria di codici che esegue il rendering di immagini di questo tipo, in particolare il framework Electron utilizzato in Chrome e molte altre app che funzionano sia su desktop che su dispositivi mobili.

La vulnerabilità zero-day non interessa solo Chrome: allarme per migliaia di app e framework

La descrizione formale di Google, identificata con il codice CVE-2023-4863, identificava il fornitore interessato come Google e il software interessato come Chrome, anche se, in realtà, qualsiasi codice che utilizzava libwebp era vulnerabile.

I critici hanno rimarcato con forza che l’incapacità di Google di notare che anche migliaia di altri pezzi di codice sono vulnerabili comporterebbe inutili ritardi nella correzione della vulnerabilità. Ciò potrebbe consentire ai cybercriminali un vantaggio operativo considerevole, visto che hanno potuto operare per due settimane senza particolari azioni di contrasto.

In ogni caso, Google ha presentato una nuova documentazione, con un nuova informativa tracciata, ovvero CVE-2023-5129, con un livello di gravità considerevolmente cresciuto.

Che sia tracciato come CVE-2023-4863 o CVE-2023-5129, la vulnerabilità in libwebp resta comunque grave. Prima di utilizzare le app, gli utenti devono assicurarsi che le versioni di Electron che utilizzano sia v22.3.24, v24.8.3 o v25.8.1. In tal senso è bene aggiornare tutti i software installati sul computer alla versione più recente disponibile.