谷歌libwebp图像库曝任意代码执行漏洞，已在野被积极利用

最近的网络安全观察中，Google 已为 libwebp 图像库中的一个关键安全漏洞分配了一个新的 CVE 号，该漏洞用于以 WebP 格式渲染图像，已在野被积极利用。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，该漏洞的编号为 CVE-2023-5129，CVSS 评级系统的评分为 10分（最高严重性）。该漏洞的根源在于霍夫曼编码算法的缺陷。

使用特制的 WebP 无损文件，libwebp 可能会将数据越界写入堆。ReadHuffmanCodes() 函数分配 HuffmanCode 缓冲区，其大小来自预先计算的大小数组：kTableSize。color_cache_bits 值定义要使用的大小。kTableSize 数组仅考虑 8 位一级表查找的大小，但不考虑二级表查找的大小。libwebp 允许最多 15 位 (MAX_ALLOWED_CODE_LENGTH) 的代码。当 BuildHuffmanTable() 尝试填充二级表时，它可能会写入越界数据。对尺寸不足的数组的 OOB 写入发生在 ReplicateValue 中。

在该漏洞公开之前，Apple、Google和Mozilla发布了修复程序以解决可能导致在处理特制图像时执行任意代码（分别跟踪为 CVE-2023-41064 和 CVE-2023-4863），这2个漏洞可能解决了libwebp 图像库中相同的潜在问题。

据说 CVE-2023-41064 已与 CVE-2023-41061 链接在一起，作为名为 BLASTPASS 的零点击 iMessage 漏洞利用链的一部分，用于部署 Pegasus 飞马间谍软件。目前尚不清楚其他技术细节。

但将 CVE-2023-4863 错误地界定为 Google Chrome 中的漏洞，但它实际上还影响了所有其他依赖 libwebp 库处理 WebP 图像的应用程序，这表明它的影响比之前想象的更广泛。

安全研究机构上周的一项分析揭示了一系列广泛使用的应用程序、代码库、框架和操作系统，这些应用程序、代码库、框架和操作系统都容易受到 CVE-2023-4863 的影响。

安全研究人员表示，该软件包因其效率而脱颖而出，在尺寸和速度方面优于 JPEG 和 PNG。因此，大量软件、应用程序和软件包都采用了这个库，甚至采用了 libwebp 为其依赖项的软件包。libwebp 的广泛流行极大地扩展了攻击面，引起了用户和组织的严重担忧。

随着 Google扩大CVE-2023-4863 的修复范围，将 ChromeOS 和 ChromeOS Flex 的稳定通道纳入其中，并发布版本 15572.50.0（浏览器版本 117.0.5938.115）。