… em bibliotecas de… código aberto! Ironias do destino, não? Durante muitos anos, a comunidade do Software Livre cansou de fazer piadas e gozações sobre a (falta de) segurança dos softwares desenvolvidos por ela. A principal alegação estava no fato de que grande parte das falhas de segurança e vulnerabilidades, eram provenientes das restrições de acesso do código-fonte de seus produtos, o que reduzia bastante as práticas de auditoria e análises. Bem diferente, da filosofia do Software Livre e Código Aberto…
“Microsoft released emergency security updates for Edge, Teams, and Skype to patch two zero-day vulnerabilities in open-source libraries used by the three products. The first bug is a flaw tracked as CVE-2023-4863 and caused by a heap buffer overflow weakness in the WebP code library (libwebp), whose impact ranges from crashes to arbitrary code execution. The second one (CVE-2023-5217) is also caused by heap buffer overflow weakness in the VP8 encoding of the libvpx video codec library, which could lead to app crashes or allow arbitrary code execution following successful exploitation.”
— by Bleeping Computer.
Segundo Linus Torvalds, “tendo uma base grande de testadores e desenvolvedores, qualquer problema ou bug será rapidamente percebido e a correção para o mesmo será trivial para alguém”. Será? Embora a abertura do código-fonte possa reduzir bastante estas incidências, na prática eles ainda podem sofrer com falhas e vulnerabilidades! Recentemente, foram descobertas falhas nas bibliotecas libwebp (usada para a exibição de imagens em formato WebP) e VP8 (para a reprodução de vídeos em formato VP8), as quais a tornam vulneráveis ao heap buffer overflow, tornando-as suscetíveis a corrupção de dados e escalação de privilégios.
E se não bastassem as possíveis contradições relacionadas a argumentação do mestre Torvalds (pois muitos “defensores” do software proprietário acreditam que através da ocultação do código-fonte, fica mais difícil explorar falhas e vulnerabilidades), a grande ironia é saber que a própria Microsoft já está providenciando as atualizações de segurança necessárias para três softwares mantidos por ela, os quais utilizam justamente as bibliotecas de código-aberto, afetadas pelas vulnerabilidades! Estas por sua vez foram registradas pelo MITRE sob os códigos CVE-2023-4863 e CVE-2023-5217.
Além do navegador Edge (que por sua vez é baseado no código-fonte do Projeto Chromium), da ferramenta de conferência remota Teams e da aplicação de telecomunicação Skype, outros softwares também são suscetíveis à vulnerabilidade em questão, como é o caso dos navegadores WEB Safari, Mozilla Firefox e Opera, além dos navegadores nativos utilizados pelo sistema operacional Android, bem como as aplicações 1Password e Signal. Vale lembrar que estas vulnerabilidades tenham sido taxadas de “dia zero”, elas foram descobertas no início do mês.
Faz sentido a “proteção por obscuridade”? Pois prefiro o Software Livre… &;-D