Vulnerabilidad crítica de libwebp bajo explotación activa: obtiene puntuación CVSS máxima


27 de septiembre de 2023THNDía Cero / Vulnerabilidad

Google ha asignado un nuevo identificador CVE para una falla de seguridad crítica en la biblioteca de imágenes libwebp para representar imágenes en el Formato WebP que ha sido objeto de explotación activa en la naturaleza.

Seguimiento como CVE-2023-5129, al problema se le ha otorgado la puntuación máxima de gravedad de 10,0 en el sistema de clasificación CVSS. Se ha descrito como un problema arraigado en la Algoritmo de codificación de Huffman

Con un archivo WebP sin pérdidas especialmente diseñado, libwebp puede escribir datos fuera de los límites del montón. La función ReadHuffmanCodes() asigna el búfer HuffmanCode con un tamaño que proviene de una matriz de tamaños precalculados: kTableSize. El valor color_cache_bits define qué tamaño usar. La matriz kTableSize solo tiene en cuenta los tamaños para búsquedas de tablas de primer nivel de 8 bits, pero no para búsquedas de tablas de segundo nivel. libwebp permite códigos de hasta 15 bits (MAX_ALLOWED_CODE_LENGTH). Cuando BuildHuffmanTable() intenta llenar las tablas de segundo nivel, puede escribir datos fuera de los límites. La escritura OOB en la matriz de tamaño insuficiente ocurre en ReplicateValue.

El desarrollo se produce después de que Apple, Google y Mozilla publicaran correcciones para contener un error (rastreado por separado como CVE-2023-41064 y CVE-2023-4863) que podría provocar la ejecución de código arbitrario al procesar una imagen especialmente diseñada. Se sospecha que ambas fallas abordan el mismo problema subyacente en la biblioteca.

La seguridad cibernética

Según Citizen Lab, se dice que CVE-2023-41064 se encadenó con 2023-41061 como parte de una cadena de exploits de iMessage sin clic llamada BLASTPASS para implementar un software espía mercenario conocido como Pegasus. Actualmente se desconocen detalles técnicos adicionales.

Pero la decisión de “alcanzar erróneamente” CVE-2023-4863 como una vulnerabilidad en Google Chrome contradecía el hecho de que también afecta virtualmente a todas las demás aplicaciones que dependen de la biblioteca libwebp para procesar imágenes WebP, lo que indica que tuvo un impacto más amplio de lo que se pensaba anteriormente. .

Un análisis de Rezillion la semana pasada reveló una larga lista de aplicaciones, bibliotecas de códigos, marcos y sistemas operativos ampliamente utilizados que son vulnerables a CVE-2023-4863.

“Este paquete destaca por su eficiencia, superando a JPEG y PNG en términos de tamaño y velocidad”, afirma la empresa. dicho. “En consecuencia, una multitud de software, aplicaciones y paquetes han adoptado esta biblioteca, o incluso han adoptado paquetes de los que libwebp es su dependencia”.

“La mera prevalencia de libwebp amplía significativamente la superficie de ataque, lo que genera serias preocupaciones tanto para los usuarios como para las organizaciones”.

La divulgación llega como Google expandido Correcciones para CVE-2023-4863 para incluir el canal estable para ChromeOS y ChromeOS Flex con el lanzamiento de la versión 15572.50.0 (versión del navegador 117.0.5938.115).

PRÓXIMO SEMINARIO WEB

Luche contra la IA con IA: combata las ciberamenazas con herramientas de IA de próxima generación

¿Listo para afrontar nuevos desafíos de ciberseguridad impulsados ​​por la IA? Únase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.

Potencia tus habilidades

También sigue a los nuevos detalles publicados por Google Project Zero sobre la explotación salvaje de CVE-2023-0266 y CVE-2023-26083 en diciembre de 2022 por parte de proveedores comerciales de software espía para apuntar a dispositivos Android de Samsung en los Emiratos Árabes Unidos y obtener acceso de lectura/escritura arbitrario al kernel.

Se cree que los defectos se utilizaron junto con otros tres defectos: CVE-2022-4262, CVE-2022-3038, CVE-2022-22706 – por un cliente o socio de una empresa española de software espía conocida como Variston IT.

“También es particularmente digno de mención que este atacante creó una cadena de exploits utilizando múltiples errores de los controladores de GPU del kernel”, dijo el investigador de seguridad Seth Jenkins. dicho. “Estos controladores de Android de terceros tienen distintos grados de calidad del código y regularidad de mantenimiento, y esto representa una oportunidad notable para los atacantes”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57