Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Vulnerabilidad crítica de libwebp bajo explotación activa: obtiene puntuación CVSS máxima
  • Tecnología

Vulnerabilidad crítica de libwebp bajo explotación activa: obtiene puntuación CVSS máxima

teknomers 27 de Eylül de 2023 (Last updated: 27 de Eylül de 2023) 4 minutes read
Vulnerabilidad crítica de libwebp bajo explotación activa: obtiene puntuación CVSS


27 de septiembre de 2023THNDía Cero / Vulnerabilidad

Google ha asignado un nuevo identificador CVE para una falla de seguridad crítica en la biblioteca de imágenes libwebp para representar imágenes en el Formato WebP que ha sido objeto de explotación activa en la naturaleza.

Seguimiento como CVE-2023-5129, al problema se le ha otorgado la puntuación máxima de gravedad de 10,0 en el sistema de clasificación CVSS. Se ha descrito como un problema arraigado en la Algoritmo de codificación de Huffman –

Con un archivo WebP sin pérdidas especialmente diseñado, libwebp puede escribir datos fuera de los límites del montón. La función ReadHuffmanCodes() asigna el búfer HuffmanCode con un tamaño que proviene de una matriz de tamaños precalculados: kTableSize. El valor color_cache_bits define qué tamaño usar. La matriz kTableSize solo tiene en cuenta los tamaños para búsquedas de tablas de primer nivel de 8 bits, pero no para búsquedas de tablas de segundo nivel. libwebp permite códigos de hasta 15 bits (MAX_ALLOWED_CODE_LENGTH). Cuando BuildHuffmanTable() intenta llenar las tablas de segundo nivel, puede escribir datos fuera de los límites. La escritura OOB en la matriz de tamaño insuficiente ocurre en ReplicateValue.

El desarrollo se produce después de que Apple, Google y Mozilla publicaran correcciones para contener un error (rastreado por separado como CVE-2023-41064 y CVE-2023-4863) que podría provocar la ejecución de código arbitrario al procesar una imagen especialmente diseñada. Se sospecha que ambas fallas abordan el mismo problema subyacente en la biblioteca.

La seguridad cibernética

Según Citizen Lab, se dice que CVE-2023-41064 se encadenó con 2023-41061 como parte de una cadena de exploits de iMessage sin clic llamada BLASTPASS para implementar un software espía mercenario conocido como Pegasus. Actualmente se desconocen detalles técnicos adicionales.

Pero la decisión de “alcanzar erróneamente” CVE-2023-4863 como una vulnerabilidad en Google Chrome contradecía el hecho de que también afecta virtualmente a todas las demás aplicaciones que dependen de la biblioteca libwebp para procesar imágenes WebP, lo que indica que tuvo un impacto más amplio de lo que se pensaba anteriormente. .

Un análisis de Rezillion la semana pasada reveló una larga lista de aplicaciones, bibliotecas de códigos, marcos y sistemas operativos ampliamente utilizados que son vulnerables a CVE-2023-4863.

“Este paquete destaca por su eficiencia, superando a JPEG y PNG en términos de tamaño y velocidad”, afirma la empresa. dicho. “En consecuencia, una multitud de software, aplicaciones y paquetes han adoptado esta biblioteca, o incluso han adoptado paquetes de los que libwebp es su dependencia”.

“La mera prevalencia de libwebp amplía significativamente la superficie de ataque, lo que genera serias preocupaciones tanto para los usuarios como para las organizaciones”.

La divulgación llega como Google expandido Correcciones para CVE-2023-4863 para incluir el canal estable para ChromeOS y ChromeOS Flex con el lanzamiento de la versión 15572.50.0 (versión del navegador 117.0.5938.115).

PRÓXIMO SEMINARIO WEB

Luche contra la IA con IA: combata las ciberamenazas con herramientas de IA de próxima generación

¿Listo para afrontar nuevos desafíos de ciberseguridad impulsados ​​por la IA? Únase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.

Potencia tus habilidades

También sigue a los nuevos detalles publicados por Google Project Zero sobre la explotación salvaje de CVE-2023-0266 y CVE-2023-26083 en diciembre de 2022 por parte de proveedores comerciales de software espía para apuntar a dispositivos Android de Samsung en los Emiratos Árabes Unidos y obtener acceso de lectura/escritura arbitrario al kernel.

Se cree que los defectos se utilizaron junto con otros tres defectos: CVE-2022-4262, CVE-2022-3038, CVE-2022-22706 – por un cliente o socio de una empresa española de software espía conocida como Variston IT.

“También es particularmente digno de mención que este atacante creó una cadena de exploits utilizando múltiples errores de los controladores de GPU del kernel”, dijo el investigador de seguridad Seth Jenkins. dicho. “Estos controladores de Android de terceros tienen distintos grados de calidad del código y regularidad de mantenimiento, y esto representa una oportunidad notable para los atacantes”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Nirvana: Violonchelista de IN-UTERO supuestamente fue insultada por Courtney Love
Next: Transportes y Salvini firman una orden judicial para la huelga del viernes

Related Stories

Samsung y Google quieren adelantarse al iPhone Fold este verano
  • Tecnología

Samsung y Google quieren adelantarse al iPhone Fold este verano

teknomers 9 de Temmuz de 2026
La imprescindible ratón gamer Logitech G502 Lightspeed y sus 11
  • Tecnología

La imprescindible ratón gamer Logitech G502 Lightspeed y sus 11 botones está rebajada al -50% durante las Rebajas.

teknomers 8 de Temmuz de 2026
IA empresarial: OpenAI se equipa con un ejército de ingenieros
  • Tecnología

IA empresarial: OpenAI se equipa con un ejército de ingenieros para imponer GPT-5.6

teknomers 8 de Temmuz de 2026

You May Have Missed

  • General

Lecciones de vida sobre la psicología de las creencias: Cita del día de Leon Festinger: ‘Un hombre con una convicción es un hombre difícil de cambiar. Dile que estás en desacuerdo y se aleja. Muéstrale hechos o cifras y él…’ – Psicólogo social estadounidense explica la psicología de las creencias y por qué es difícil cambiar la opinión de las personas.

teknomers 9 de Temmuz de 2026
Copa del Mundo 2026: Saibari baja, pero Riad se postula;
  • Deporte

Copa del Mundo 2026: Saibari baja, pero Riad se postula; la posible alineación de Marruecos en los cuartos de final frente a Francia

teknomers 9 de Temmuz de 2026
Samsung y Google quieren adelantarse al iPhone Fold este verano
  • Tecnología

Samsung y Google quieren adelantarse al iPhone Fold este verano

teknomers 9 de Temmuz de 2026
  • Deporte

McGregor vs Holloway 2: Cody Garbrandt solicita a la UFC que apoye a los luchadores retirados

teknomers 9 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.