Google gần đây đã phân loại lại một lỗ hổng trong thư viện hình ảnh libwebp từ một điểm yếu tiềm năng của Chrome thành một vấn đề an ninh quan trọng trong chính thư viện libwebp, hiện được xác định là CVE-2023-5129. Quyết định này đã làm sáng tỏ sự nhầm lẫn trong cộng đồng an ninh mạng và nổi bật lên mức độ nghiêm trọng của lỗ hổng, đã nhận được mức độ nghiêm trọng tối đa là 10/10. Lỗ hổng này nằm trong thuật toán mã hóa Huffman được libwebp sử dụng cho nén không mất mát. Kẻ tấn công khai thác điểm yếu này có thể thực hiện ghi nhớ ngoài biên bằng cách sử dụng trang HTML xấu ý, dẫn đến hậu quả nghiêm trọng như sụp đổ hệ thống, thực hiện mã tùy ý và truy cập trái phép vào thông tin nhạy cảm.
Việc phân loại lại này có ý nghĩa quan trọng cho một loạt các dự án và ứng dụng phụ thuộc vào thư viện mã nguồn mở libwebp. Các hình ảnh container phổ biến như Drupal, Nginx, Perl, Python, Ruby, Rust và WordPress, cùng với các trình duyệt web được sử dụng rộng rãi như Chrome, Firefox, Microsoft Edge và Opera, đều bị ảnh hưởng. Các bản phân phối Linux khác nhau và các ứng dụng nổi tiếng như Microsoft Teams, Slack, Discord, LibreOffice, 1Password, Telegram và Signal Desktop cũng bị ảnh hưởng.
Đáp lại, Nuspire đang tích cực theo dõi bất kỳ dấu hiệu nào của hoạt động xấu ý liên quan đến lỗ hổng này và sẽ nhanh chóng cập nhật cho khách hàng và cộng đồng với bất kỳ sự phát triển nào. Đối với những người sử dụng phần mềm hoặc ứng dụng bị ảnh hưởng bởi lỗ hổng này, quan trọng là kiểm tra xem các nhà cung cấp phần mềm đã phát hành bản vá cho CVE-2023-5129 và libwebp chưa, áp dụng các bản vá này ngay khi chúng có sẵn và duy trì giám sát liên tục cho bất kỳ đề cập nào về CVE-2023-5129 hoặc libwebp trong các thông báo an ninh. Sự cảnh giác và hành động kịp thời của bạn có thể đóng một vai trò quan trọng trong việc duy trì an ninh cho hệ thống và dữ liệu của bạn, đảm bảo bảo vệ chống lại lỗ hổng nghiêm trọng này.
Source: Securityboulevard
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.