/https://www.ilsoftware.it/app/uploads/2023/10/vulnerabilita-webp-vp8-skype-teams.jpg "Aggiornate subito Teams, Skype e le estensioni WebP: rischio di attacco dietro l'angolo")
Il problema di sicurezza scoperto nella libreria che si occupa della gestione dei contenuti in formato WebP non interessa solamente i browser Web. Gli effetti possono essere dirompenti per qualunque software si appoggi alla medesima libreria.
Le vulnerabilità di sicurezza principale (CVE-2023-4863) riguarda in particolare la libreria libwebp: un aggressore la sfrutta, può provocare l’esecuzione di codice arbitrario in modalità remota. Una seconda lacuna di sicurezza (CVE-2023-5217) ha a che fare con un bug nel processo di codifica VP8 nella libreria open source libvpx, comunemente utilizzata per implementare il supporto per vari codec video nelle applicazioni, inclusi VP8 e VP9.
In entrambi i casi, un aggressore remoto può provocare un errore di heap buffer overflow che si verifica quando un’applicazione scrive dati oltre la quantità di memoria allocata dinamicamente all’interno dello heap (regione di memoria utilizzata dai programmi durante l’esecuzione per allocare dati a lungo termine).
Nel caso specifico, il problema si verifica durante l’elaborazione dei dati in formato WebP e di video VP8. Se un attaccante sfrutta con successo questa vulnerabilità, può sovrascrivere parti critiche della memoria con dati dannosi, provocando crash e attivando l’esecuzione di codice arbitrario sul sistema della vittima.
Dove sono utilizzate le librerie vulnerabili
La libreria libwebp è utilizzata in un gran numero di progetti per codificare e decodificare immagini nel formato WebP, inclusi i browser Web moderni come Chrome, Edge, Firefox, Opera, Safari e altri ancora, ad esempio i browser Web su Android. Ma ci sono anche app popolari che adottano la medesima libreria: 1Password e Signal, per fare un paio di nomi. L’installazione degli ultimi aggiornamenti delle varie applicazioni è quindi essenziale per evitare di correre inutili rischi.
L’altro componente citato in apertura, libvpx, è ad esempio sfruttato per la codifica e la decodifica video VP8 e VP9 da parte dei più noti riproduttori multimediali e delle piattaforme di streaming online come Netflix, YouTube e Amazon Prime Video.
Microsoft allunga la lista dei programmi vulnerabili e invita all’aggiornamento
Anche Microsoft fa presente di aver approfondito le indagini sui suoi prodotti confermando che le vulnerabilità non interessano soltanto Edge ma anche prodotti come Teams e Skype per sistemi desktop oltre alle estensioni WebP (disponibili attraverso il Microsoft Store o direttamente in Windows). Le tre applicazioni, se sprovviste delle più recenti patch correttive, sono vulnerabili alla lacuna CVE-2023-4863. Edge, al momento, resta invece l’unico prodotto della società di Redmond che necessita di aggiornamenti correttivi sia per la falla CVE-2023-4863 che per CVE-2023-5217.
Entrambe le vulnerabilità in questione sono indicate come già sfruttate dai criminali informatici per condurre pericolosi attacchi mirati. L’invio alle vittime di contenuti WebP o VP8 malevoli, capaci di provocare l’esecuzione automatica di codice sul sistema, rappresentano infatti una ghiotta occasione per lanciare attacchi informatici particolarmente efficaci.
Per questo motivo, tutte le parti in causa stanno cercando di mantenere riserbo sui dettagli tecnici delle due vulnerabilità. Almeno fintanto che la stragrande maggioranza degli utenti non avrà installato gli aggiornamenti correttivi destinati alle varie applicazioni.
Come proteggere il sistema dalle vulnerabilità nelle librerie WebP e VP8
Per mettersi al riparo da qualunque rischio di attacco, il suggerimento è quello di procedere immediatamente con l’aggiornamento di Edge, Teams, Skype e delle estensioni WebP per Windows.
Nel caso di Edge, per installare l’ultima versione, basta digitare edge://settings/help nella barra degli indirizzi quindi riavviare il browser quando richiesto.
Sia Skype che Teams, invece, devono essere aggiornati cliccando sull’icona Microsoft Store, spesso visualizzata nella barra delle applicazioni oppure richiamabile dal menu Start del sistema operativo. Nel caso di Skype, non fidatevi del messaggio Stai usando la versione aggiornata di Skype che compare cliccando sui tre puntini nell’interfaccia dell’applicazione, su Impostazioni, su Guida e feedback.
Portatevi invece nella finestra del Microsoft Store, cliccate sull’icona Raccolta in basso a sinistra quindi su Recupera aggiornamenti. Cercate infine i riferimenti a Skype e Teams cliccando sui corrispondenti pulsanti Aggiorna. Per semplificare, si può fare clic su Aggiorna tutto.
Sempre nella schermata del Microsoft Store, è importante aggiornare le Estensioni di immagine WebP. Digitando Get-AppxPackage -Name Microsoft.WebpImageExtension in una finestra PowerShell vedrete 1.0.62681.0 (o una release successiva) come numero di versione: significa che si è protetti dalla vulnerabilità insita nella libreria WebP.
Credit immagine in apertura: iStock.com/Olemedia
/https://www.ilsoftware.it/app/uploads/2023/06/malware-hacker.jpg "GitHub: scoperti 3.000 account che diffondono malware")
/https://www.ilsoftware.it/app/uploads/2023/07/infostealer-malware.jpg "Hamster Kombat, rischio malware per milioni di videogiocatori")
/https://www.ilsoftware.it/app/uploads/2023/06/telegram-smartphone.jpg "EvilVideo, l'exploit zero-day Telegram sfruttato per nascondere malware")
/https://www.ilsoftware.it/app/uploads/2024/07/1-28.jpg "Google Play Store, scansione malware: Play Protect migliora ancora")