Pocos días después de que Apple lanzara iOS 16.6.1 para proteger iPhones y iPads contra un exploit crítico de día cero relacionado con ImageIO, Google ha lanzado una actualización de seguridad de emergencia para los usuarios de Chrome contra una amenaza de día cero que afecta al formato de imagen WebP. Sin embargo, las coincidencias van más allá de que ambos aborden exploits críticos de creación de imágenes maliciosas.
¿Están conectadas las actualizaciones de seguridad de CVE-2023-4863, Blastpass, iOS y Chrome?
Apple y Google se mantienen herméticos a la hora de hacer públicos los detalles técnicos relativos a estos zero-days para evitar nuevos exploits mientras los usuarios siguen actualizando sus dispositivos. Sin embargo, como mi colega Kate O'Flaherty informó, CVE-2023-41064 es una vulnerabilidad que "podría permitir a un adversario ejecutar código a través de imágenes maliciosamente diseñadas", que se utilizó en un ataque llamado BLASTPASS y "aprovechó archivos adjuntos PassKit que contienen imágenes maliciosas", según Citizen Lab.
Puede leer también | iOS 15.6 está aquí con todas las actualizaciones para tu iPhone
El día cero de Chrome, CVE-2023-4863, es un problema de desbordamiento del búfer de montón en el formato de imagen WebP. Aunque todavía no hay confirmación, un exploit podría potencialmente permitir un ataque de clic cero al visitar un sitio web que contenga una imagen maliciosa. Según el informe de Citizen Lab, el exploit BLASTPASS también era un ataque de clic cero, capaz de comprometer iPhones sin ninguna interacción.
¿Coincidencia? Posiblemente, pero hay que tener en cuenta que el informe de Citizen Lab está fechado el 7 de septiembre y que el día cero de Chrome se comunicó a Google el 6 de septiembre. Nada menos que por el equipo de Ingeniería y Arquitectura de Seguridad de Apple y Citizen Lab.
Me he puesto en contacto con Apple, Citizen Lab y Google para obtener una declaración y actualizaré este artículo si se produce alguna.
Puede leer también | Alerta de día cero: Apple lanza parches para fallos activamente explotados en iOS, macOS y Safari
Actualización 14/09: El desarrollador y bloguero Alex Ivanovs ha confirmado que, además de los navegadores web, "cualquier software que utilice la librería libwebp" está afectado por esta vulnerabilidad, incluyendo aplicaciones basadas en Electron como 1Password y Signal.
La aplicación 1Password para Mac se ha actualizado a la versión 8.10.15 para parchear contra CVE-2023-4863, y Signal Desktop se ha actualizado para incluir el parche Electron v25.
Ivanovs explica que el problema radica en la función BuildHuffman Table, introducida en 2014.
Puede leer también | GitLab : ha realizado un parche de seguridad para la vulnerabilidad de adquisición de cuenta
Otros navegadores web que se han actualizado para parchear la vulnerabilidad WebP de día cero son:
- Brave, que se ha actualizado a 116.0.5845.188
- Edge, que se ha actualizado a 116.0.1938.81 (116.1938.79 para iOS)
- Firefox, actualizado a 117.0.1
- Opera, actualizado a 102.0.4880.46
- Vivaldi, actualizado a 6.2.3105.47
Aún no hay confirmación de que la vulnerabilidad WebP esté relacionada con la cadena de exploits BLASTPASS, que incluye dos zero-days que podrían infectar iPhones con el programa espía Pegasus. No obstante, Apple ha publicado nuevas actualizaciones de seguridad para versiones anteriores de iOS, iPadOS y macOS. Los parches ya están disponibles para iOS 15.7.9, iPadOS 15.7.9, macOS Monterey 12.6.9 y macOS Big Sur 11.7.9. Esto significa que los iPhones más antiguos, como el iPhone 6 y 7, ahora están protegidos a pesar de que iOS 15 está fuera de soporte.