Google ha corretto nelle scorse ore un errore nella segnalazione di una falla di sicurezza 0-day nella sua libreria Webp, il formato di immagini compresso open-source che ha creato più di una decina di anni fa per ridurre le dimensioni delle immagini rispetto a formati più tradizionali come il JPEG. Come è facile immaginare da chi mastica anche solo un pochino di sviluppo software, la libreria, che si chiama molto intuitivamente Libwebp, è incorporata in tutte le applicazioni che supportano questo formato grafico - non solo per ritoccarlo e modificarlo, ma anche per visualizzarlo, quindi browser Web e app galleria, per esempio.

Google ha dichiarato la falla già un paio di settimane fa, ma ha commesso un errore: ha detto che l’unica applicazione vulnerabile era il suo browser Chrome. Subito la community dei ricercatori di sicurezza ha segnalato che in realtà libwebp è usata, come dicevamo sopra, da moltissime applicazioni diverse, e questo errore di comunicazione avrebbe potuto causare ritardi nella distribuzione di aggiornamenti correttivi. Soprattutto quando si tratta di vulnerabilità 0-day facilmente sfruttabili anche da remoto, il tempismo è cruciale. App molto famose e diffuse, anche in ambito aziendale dove c’è un’attenzione molto più serrata nei confronti delle fughe di dati - un esempio emblematico è Microsoft Teams, che a due settimane dalla scoperta della falla è ancora vulnerabile..

Nelle scorse ore Google ha finalmente corretto la svista e ha ri-dichiarato la falla indicando i giusti potenziali bersagli. La soluzione arriva non senza qualche controindicazione: visto che Google ha segnalato il problema di sicurezza due volte in modo separato l’una dall’altra, di fatto alla stessa falla sono assegnati due codici CVE (originale, solo Chrome: CVE-2023-4863; nuova, tutte le app: CVE-2023-5129), che rischiano di creare un po’ di confusione. Contestualmente, l’indice di criticità passa da un già alto 8,8 a 10.

Concretamente la falla è di tipo heap overflow; a un hacker basterebbe far visualizzare al bersaglio un’immagine webp opportunamente modificata, per esempio tramite un link in una mail, per far eseguire codice non autorizzato e violare i sistemi di sicurezza del computer