谷歌libwebp图像库曝任意代码执行漏洞,已在野被积极利用

在主动利用下的关键libwebp脆弱性 - 获得最大CVSS分数

最近的网络安全观察中,Google 已为 libwebp 图像库中的一个关键安全漏洞分配了一个新的 CVE 号,该漏洞用于以 WebP 格式渲染图像,已在野被积极利用。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,该漏洞的编号为 CVE-2023-5129,CVSS 评级系统的评分为 10分(最高严重性)。该漏洞的根源在于霍夫曼编码算法的缺陷。

使用特制的 WebP 无损文件,libwebp 可能会将数据越界写入堆。ReadHuffmanCodes() 函数分配 HuffmanCode 缓冲区,其大小来自预先计算的大小数组:kTableSize。color_cache_bits 值定义要使用的大小。kTableSize 数组仅考虑 8 位一级表查找的大小,但不考虑二级表查找的大小。libwebp 允许最多 15 位 (MAX_ALLOWED_CODE_LENGTH) 的代码。当 BuildHuffmanTable() 尝试填充二级表时,它可能会写入越界数据。对尺寸不足的数组的 OOB 写入发生在 ReplicateValue 中。

在该漏洞公开之前,Apple、Google和Mozilla发布了修复程序以解决可能导致在处理特制图像时执行任意代码(分别跟踪为 CVE-2023-41064 和 CVE-2023-4863),这2个漏洞可能解决了libwebp 图像库中相同的潜在问题。

据说 CVE-2023-41064 已与 CVE-2023-41061 链接在一起,作为名为 BLASTPASS 的零点击 iMessage 漏洞利用链的一部分,用于部署 Pegasus 飞马间谍软件。目前尚不清楚其他技术细节。

但将 CVE-2023-4863 错误地界定为 Google Chrome 中的漏洞,但它实际上还影响了所有其他依赖 libwebp 库处理 WebP 图像的应用程序,这表明它的影响比之前想象的更广泛。

安全研究机构上周的一项分析揭示了一系列广泛使用的应用程序、代码库、框架和操作系统,这些应用程序、代码库、框架和操作系统都容易受到 CVE-2023-4863 的影响。

安全研究人员表示,该软件包因其效率而脱颖而出,在尺寸和速度方面优于 JPEG 和 PNG。因此,大量软件、应用程序和软件包都采用了这个库,甚至采用了 libwebp 为其依赖项的软件包。libwebp 的广泛流行极大地扩展了攻击面,引起了用户和组织的严重担忧。

随着 Google扩大CVE-2023-4863 的修复范围,将 ChromeOS 和 ChromeOS Flex 的稳定通道纳入其中,并发布版本 15572.50.0(浏览器版本 117.0.5938.115)。

 

谷歌libwebp图像库曝任意代码执行漏洞,已在野被积极利用

极牛网精选文章《谷歌libwebp图像库曝任意代码执行漏洞,已在野被积极利用》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/25737.html

(30)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2023年9月23日 上午11:00
下一篇 2023年9月28日 上午11:00

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部