保贝狗是一款个人信息保护产品。
Google 已为 libwebp 图像库中的一个关键安全缺陷分配了一个新的 CVE 标识符,该缺陷用于以WebP 格式渲染图像,该缺陷已在野外受到积极利用。
该问题的编号为CVE-2023-5129,CVSS 评级系统的最高严重性评分为 10.0。它被描述为根源于霍夫曼编码算法的问题-
使用特制的 WebP 无损文件,libwebp 可能会将数据越界写入堆。ReadHuffmanCodes() 函数分配 HuffmanCode 缓冲区,其大小来自预先计算的大小数组:kTableSize。color_cache_bits 值定义要使用的大小。kTableSize 数组仅考虑 8 位一级表查找的大小,但不考虑二级表查找的大小。libwebp 允许最多 15 位 (MAX_ALLOWED_CODE_LENGTH) 的代码。当 BuildHuffmanTable() 尝试填充二级表时,它可能会写入越界数据。对尺寸不足的数组的 OOB 写入发生在 ReplicateValue 中。
在此开发之前,Apple、Google和Mozilla发布了修复程序以包含一个错误(分别跟踪为 CVE-2023-41064 和 CVE-2023-4863),该错误可能导致在处理特制图像时执行任意代码。这两个缺陷被怀疑解决了库中相同的潜在问题。
据 Citizen Lab 称,据说 CVE-2023-41064 已与 2023-41061 链接在一起,作为名为 BLASTPASS 的零点击 iMessage 漏洞利用链的一部分,用于部署名为 Pegasus 的雇佣间谍软件。目前尚不清楚其他技术细节。
但将 CVE-2023-4863“错误地界定为 Google Chrome 中的漏洞”的决定掩盖了这样一个事实:它实际上还影响了所有其他依赖 libwebp 库处理 WebP 图像的应用程序,这表明它的影响比之前想象的更广泛。
Rezillion 上周的一项分析揭示了一系列广泛使用的应用程序、代码库、框架和操作系统,这些应用程序、代码库、框架和操作系统都容易受到 CVE-2023-4863 的影响。
该公司表示:“该软件包因其效率而脱颖而出,在尺寸和速度方面优于 JPEG 和 PNG。” “因此,大量软件、应用程序和软件包都采用了这个库,甚至采用了 libwebp 为其依赖项的软件包。”
“libwebp 的广泛流行极大地扩展了攻击面,引起了用户和组织的严重担忧。”
随着 Google扩大CVE-2023-4863 的修复范围,将 ChromeOS 和 ChromeOS Flex 的稳定通道纳入其中,并发布版本 15572.50.0(浏览器版本 117.0.5938.115),该披露随之而来。
它还遵循谷歌零号项目发布的新细节,涉及商业间谍软件供应商于 2022 年 12 月对CVE-2023-0266和CVE-2023-26083进行野外利用,以瞄准阿联酋三星的 Android 设备并获取内核任意信息读/写访问。
据信,这些缺陷与其他三个缺陷( CVE-2022-4262、CVE-2022-3038、CVE-2022-22706)一起被西班牙间谍软件公司 Variston IT 的客户或合作伙伴利用。
安全研究员 Seth Jenkins表示:“特别值得注意的是,该攻击者利用内核 GPU 驱动程序中的多个错误创建了一个漏洞利用链。 ” “这些第三方 Android 驱动程序的代码质量和维护规律性各不相同,这对攻击者来说是一个显着的机会。”
