Google, libwebp resim kütüphanesindeki kritik bir güvenlik açığı için, resimlerin görüntülenmesine yönelik yeni bir CVE tanımlayıcısı atadı. WebP biçimi vahşi doğada aktif olarak sömürülüyor.
Şu şekilde izlendi: CVE-2023-5129, CVSS derecelendirme sisteminde soruna maksimum önem puanı olan 10,0 verilmiştir. Kökenli bir sorun olarak tanımlandı Huffman kodlama algoritması –
Özel hazırlanmış bir WebP kayıpsız dosyasıyla libwebp, yığının sınırlarının dışındaki verileri yazabilir. ReadHuffmanCodes() işlevi, HuffmanCode arabelleğini önceden hesaplanmış boyutlardan oluşan bir diziden gelen bir boyutla ayırır: kTableSize. color_cache_bits değeri hangi boyutun kullanılacağını tanımlar. kTableSize dizisi yalnızca 8 bitlik birinci düzey tablo aramaları için boyutları dikkate alır, ancak ikinci düzey tablo aramalarını dikkate almaz. libwebp, 15 bit’e (MAX_ALLOWED_CODE_LENGTH) kadar olan kodlara izin verir. BuildHuffmanTable() ikinci düzey tabloları doldurmaya çalıştığında, verileri sınırların dışına yazabilir. Küçük boyutlu diziye OOB yazma işlemi ReplicateValue’da gerçekleşir.
Bu gelişme, Apple, Google ve Mozilla’nın, özel hazırlanmış bir görüntüyü işlerken rastgele kod yürütülmesine neden olabilecek, CVE-2023-41064 ve CVE-2023-4863 olarak ayrı ayrı takip edilen bir hatayı içeren düzeltmeler yayınlamasının ardından geldi. Her iki kusurun da kütüphanedeki aynı temel sorunu giderdiğinden şüpheleniliyor.
Citizen Lab’a göre CVE-2023-41064’ün, Pegasus olarak bilinen paralı asker casus yazılımını dağıtmak için BLASTPASS adlı sıfır tıklamalı iMessage istismar zincirinin bir parçası olarak 2023-41061 ile zincirlendiği söyleniyor. Ek teknik ayrıntılar şu anda bilinmiyor.
Ancak CVE-2023-4863’ü Google Chrome’daki bir güvenlik açığı olarak “yanlış bir şekilde kapsama” alma kararı, bunun aynı zamanda WebP görüntülerini işlemek için libwebp kitaplığına dayanan diğer tüm uygulamaları da fiilen etkilediği gerçeğini yalanladı; bu da onun daha önce düşünülenden daha geniş bir etkiye sahip olduğunu gösteriyor .
Geçen hafta Rezillion tarafından yapılan bir analiz, CVE-2023-4863’e karşı savunmasız olan, yaygın olarak kullanılan uygulamaların, kod kitaplıklarının, çerçevelerin ve işletim sistemlerinin bir listesini ortaya çıkardı.
Şirket, “Bu paket, boyut ve hız açısından JPEG ve PNG’den daha iyi performans göstererek verimliliğiyle öne çıkıyor.” söz konusu. “Sonuç olarak, çok sayıda yazılım, uygulama ve paket bu kitaplığı benimsedi, hatta libwebp’in bağımlılıkları olduğu paketleri bile benimsedi.”
“Libwebp’in yaygınlığı, saldırı yüzeyini önemli ölçüde genişleterek hem kullanıcılar hem de kuruluşlar için ciddi endişelere yol açıyor.”
Açıklama Google’a ulaştı genişletilmiş 15572.50.0 sürümünün (tarayıcı sürümü 117.0.5938.115) yayınlanmasıyla birlikte ChromeOS ve ChromeOS Flex için Kararlı kanalı dahil eden CVE-2023-4863 düzeltmeleri.
Yapay Zekayla Yapay Zekayla Mücadele Edin — Yeni Nesil Yapay Zeka Araçlarıyla Siber Tehditlerle Mücadele Edin
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Ayrıca, Google Project Zero tarafından vahşi ortamda sömürülmeye ilişkin yayınlanan yeni ayrıntıları da takip ediyor. CVE-2023-0266 Ve CVE-2023-26083 Aralık 2022’de ticari casus yazılım satıcıları tarafından BAE’deki Samsung’un Android cihazlarını hedef alacak ve çekirdek keyfi okuma/yazma erişimi elde edecek.
Kusurların diğer üç kusurla birlikte kullanıldığına inanılıyor: CVE-2022-4262, CVE-2022-3038, CVE-2022-22706 – Variston IT olarak bilinen bir İspanyol casus yazılım şirketinin müşterisi veya ortağı tarafından.
Güvenlik araştırmacısı Seth Jenkins, “Bu saldırganın, çekirdek GPU sürücülerindeki birçok hatayı kullanarak bir istismar zinciri oluşturması da özellikle dikkat çekicidir.” söz konusu. “Bu üçüncü taraf Android sürücüleri, değişen derecelerde kod kalitesine ve bakım düzenliliğine sahip ve bu, saldırganlar için kayda değer bir fırsat temsil ediyor.”