Alle systemen zijn online

Recent is een kwetsbaarheid ontdekt in de door Google ontwikkelde WebP library. SelfGuide maakt gebruik van deze WebP standaard voor de afbeeldingen die in Instructies worden gebruikt. Daarnaast hebben editors de mogelijkheid WebP afbeeldingen te gebruiken in een User Guide.

Impact: 

Ook al heeft de kwetsbaarheid zelf een hoge impact, in relatie tot SelfGuide is de impact klein. Twee redenen hiervoor:

• De WebP afbeeldingen in de instructie worden door de SelfGuide Recorder gemaakt, deze afbeeldingen zijn niet misvormd en leiden daarom niet tot een risico.
• In een User Guide kan een editor een misvormde WebP afbeelding gebruiken waardoor gebruikers die de User Guide lezen last hebben van de kwetsbaarheid. De telemetry data geeft het inzicht dat in de praktijk relatief weinig WebP afbeeldingen worden gebruikt en er meer gekozen wordt voor bijvoorbeeld PNG.

Maatregelen:

• De SelfGuide Recorder maakt gebruik van packages en frameworks waar een verouderde versie van de WebP library in werd gebruikt. Daar waar nodig zijn updates doorgevoerd om de kwetsbaarheid uit te sluiten. Een nieuwe versie van de SelfGuide Recorder is beschikbaar op de download pagina.
• Vanaf release 125 van SelfGuide, uitrol in de eerste week van Oktober, worden editors gewaarschuwd als een verouderde versie van de SelfGuide Recorder wordt gebruikt met daarbij het verzoek de software bij te werken.

Opmerkingen:

• Als een editor er voor kiest de waarschuwing te negeren en een oude SelfGuide Recorder blijven gebruiken dan blijft de kwetsbaarheid bestaan
• Het tonen van de WebP afbeeldingen buiten de SelfGuide Recorder wordt door de browser afgehandeld. Daarvoor is het advies de browser bij te werken om de kwetsbaarheid uit te sluiten

De SelfGuide Recorder wordt bij het downloaden of opstarten aangemerkt als malware, dit is bij enkele editors voorgekomen. Afhankelijk van de anti-virus configuratie werkt de recorder naar behoren of is de recorder in zijn geheel niet te gebruiken.

‍

Gezien gedrag: Bij het downloaden of starten van de SelfGuide Recorder wordt een anti-virus waarschuwing gegeven

Workaround: N.v.t.

Verwachte oplostijd: N.v.t.

Updates:

• 15/05/2023: Tot op heden hebben we geen informatie ontvangen dat de SelfGuide Recorder op basis van de nieuwe versie als malware wordt gezien. Klanten waar de false positive malware flag voorkwam krijgen deze niet terug bij het gebruiken van de nieuwe versie. We beschouwen op basis van deze ervaringen en informatie het incident als opgelost.  
  ‍
• 04/05/2023: Een nieuwe release van de SelfGuide Recorder is beschikbaar op de download pagina. De nieuwe versie bevat diverse wijzigingen met als positief resultaat dat alle uitgevoerde testen geen false positive malware flag meer tonen.
  ‍
• 20/04/2023: Helaas zijn er nog steeds anti-virus vendors die de SelfGuide Recorder als malware aanmerken waardoor het incident nog steeds impact heeft. De SelfGuide Recorder wordt op dit moment aangepast om deze impact te verkleinen. Zodra een nieuwe release beschikbaar is wordt dit bekend gemaakt. In de tussentijd kunnen de workarounds toegepast worden.
  ‍
• 13/04/2023: De laatste week hebben we van klanten geen meldingen meer ontvangen dat de SelfGuide Recorder als malware wordt gezien. We houden dit incident open ter informatie en werken de status eind volgende week bij.
  ‍
• 06/04/2023: Meerdere anti-virus vendors hebben bevestigd dat het om een false positive detectie gaat en daarop hun eigen anti-virus definitie database aangepast. Het kost tijd voordat deze aanpassingen effect opleveren. Wij blijven de situatie monitoren en daar waar nodig actie ondernemen.
  ‍
• 04/04/2023: Tot op heden blijft het vermoede dat de malware flag een false positive betreft, al het onderzoek wijst in deze richting en versterkt dit vermoede. Hieronder meer details over onder handen werk:
  ‍
  - Minimaliseren impact: hiervoor zijn twee opties beschikbaar. De eerste is het gebruiken van de SelfGuide Recorder zonder Update Step functionaliteit. Deze release bevat niet de file die zorgt voor de malware flag. De tweede optie betreft het whitelisten van de file die als malware wordt geflagged. Voor meer informatie over de whitelisting, neem contact op met support.
  ‍
  - Korte termijn verbeteringen: we werken actief om de malware flag te onderzoeken en de file reputatie bij anti-virus vendors te verbeteren
  
  - Lange termijn verbeteringen: we onderzoeken welke, structurele, verbeteringen we kunnen doorvoeren om in de toekomst minder last te hebben van dit soort situaties.
  ‍
• 31/03/2023: Analyse tot dusver heeft geen verdachte situaties opgeleverd, het lijkt derhalve om een false positive te gaan. Op dit moment is er veel te doen om de supply chain attack bij 3CX. De 3CX applicatie die geïnfecteerd was, gebruikt hetzelfde framework (Electron) als de SelfGuide Recorder. Dit heeft zeer waarschijnlijk als gevolg dat de SelfGuide Recorder in sommige gevallen als malware wordt aangemerkt.

Een AWI waarvoor de TOPdesk KB synchronisatie wordt enabled leidt niet tot een nieuw KB item in TOPdesk. De fix voor de bug is klaar en wordt in de aankomende patch ronde meegenomen door TOPdesk.

‍

Gezien gedrag: De synchronisatie voor TOPdesk KB kan op een AWI enabled worden, deze wijziging wordt met succes in de PP opgeslagen maar in TOPdesk is geen resultaat zichtbaar. De oorzaak is een bug in de TOPdesk KB API, daardoor is het aanmaken van nieuwe KB items niet mogelijk. De synchronisatie voorkeur voor de AWI wordt wel opgeslagen in de PP en zodra de bug is verholpen worden de KB items alsnog aangemaakt door de PP.

Workaround: N.v.t.

Verwachte oplostijd: N.v.t.

Bij het opslaan van een handleiding worden onbedoeld de afbeeldingen uit de hoofdstukken verwijderd.

‍

Gezien gedrag: Na het opslaan van een handleiding met afbeeldingen zijn deze niet meer zichtbaar voor de eindgebruiker. Als de handleiding in edit mode wordt geopend is nog wel te zien dat er een afbeelding in het hoofdstuk is toegevoegd maar de afbeelding zelf is niet meer te zien. Elke wijziging aan de handleiding gaat vanaf nu fout zodra de Save knop wordt ingedrukt.

Workaround: N.v.t.

Verwachte oplostijd: N.v.t.