Bleeping Computerは9月26日(米国時間)、「Google assigns new maximum rated CVE to libwebp bug exploited in attacks」において、GoogleはChromeの脆弱性として割り当てたCVE ID(CVE-2023-4863)について、libwebpの脆弱性として新しくCVE ID(CVE-2023-5129)を割り当てたと報じた。

  • Google assigns new maximum rated CVE to libwebp bug exploited in attacks

    Google assigns new maximum rated CVE to libwebp bug exploited in attacks

この脆弱性はWebP画像を処理するライブラリに不具合があり、特別に細工された画像を読み込むとヒープメモリの境界外にデータを書き込む可能性があるというもの。Googleは当初Chromeの不具合としてセキュリティ対策を行っていたが、一部コミュニティにおいてlibwebpの不具合ではないかと議論が起きていたとされる。

この脆弱性はGoogleのみならず、Appleなどlibwebpを利用したすべてのソフトウェアが影響を受けており、各社緊急のセキュリティアップデートを行っている。各社の対応から脆弱性の原因がlibwebpにあることは明白で、Googleは正確に問題を捉えるためにlibwebpの問題としてCVE IDを割り当て直したのではないかとみられている。

Bleeping Computerはこの対応によって、libwebpを使用するほかのプロジェクトが正しくセキュリティの脅威を認識できるようになると評価している。セキュリティ対策において問題の本質を正しく捉えることは重要だ。コミュニティの議論からCVEの再登録がなされるまで時間がかかったが、これまで矮小化して問題を捉えられる可能性があったものが改善されたことは評価できるという。

本稿執筆時点で、この脆弱性の影響を認識できていないプロジェクトにおいても、この対応によって対策が進むことが望まれている。