Google a attribué un nouvel identifiant CVE pour une faille de sécurité critique dans la bibliothèque d’images libwebp pour le rendu des images dans le Format WebP qui a fait l’objet d’une exploitation active dans la nature.
Suivi comme CVE-2023-5129, le problème a reçu la note de gravité maximale de 10,0 sur le système de notation CVSS. Il a été décrit comme un problème enraciné dans Algorithme de codage de Huffman –
Avec un fichier sans perte WebP spécialement conçu, libwebp peut écrire des données hors limites dans le tas. La fonction ReadHuffmanCodes() alloue au tampon HuffmanCode une taille provenant d’un tableau de tailles précalculées : kTableSize. La valeur color_cache_bits définit la taille à utiliser. Le tableau kTableSize prend uniquement en compte les tailles pour les recherches de table de premier niveau 8 bits, mais pas les recherches de table de deuxième niveau. libwebp autorise les codes allant jusqu’à 15 bits (MAX_ALLOWED_CODE_LENGTH). Lorsque BuildHuffmanTable() tente de remplir les tables de deuxième niveau, il peut écrire des données hors limites. L’écriture OOB dans le tableau sous-dimensionné se produit dans ReplicateValue.
Ce développement intervient après qu’Apple, Google et Mozilla ont publié des correctifs pour contenir un bug – suivi séparément sous les noms CVE-2023-41064 et CVE-2023-4863 – qui pourrait provoquer l’exécution de code arbitraire lors du traitement d’une image spécialement conçue. Les deux failles sont soupçonnées de résoudre le même problème sous-jacent dans la bibliothèque.
Selon le Citizen Lab, CVE-2023-41064 aurait été enchaîné avec 2023-41061 dans le cadre d’une chaîne d’exploitation iMessage sans clic nommée BLASTPASS pour déployer un logiciel espion mercenaire connu sous le nom de Pegasus. Les détails techniques supplémentaires sont actuellement inconnus.
Mais la décision de « définir à tort » CVE-2023-4863 comme une vulnérabilité dans Google Chrome a démenti le fait qu’elle affecte également pratiquement toutes les autres applications qui s’appuient sur la bibliothèque libwebp pour traiter les images WebP, ce qui indique qu’elle a eu un impact plus large qu’on ne le pensait auparavant. .
Une analyse de Rezillion la semaine dernière a révélé une longue liste d’applications, de bibliothèques de codes, de frameworks et de systèmes d’exploitation largement utilisés qui sont vulnérables à CVE-2023-4863.
« Ce package se distingue par son efficacité, surpassant les formats JPEG et PNG en termes de taille et de vitesse », explique la société. dit. « Par conséquent, une multitude de logiciels, d’applications et de packages ont adopté cette bibliothèque, ou même adopté des packages dont libwebp est leur dépendance. »
« La simple prédominance de libwebp étend considérablement la surface d’attaque, suscitant de sérieuses inquiétudes tant pour les utilisateurs que pour les organisations. »
La divulgation arrive alors que Google étendu correctifs pour CVE-2023-4863 afin d’inclure le canal stable pour ChromeOS et ChromeOS Flex avec la sortie de la version 15572.50.0 (version du navigateur 117.0.5938.115).
Combattez l’IA avec l’IA – Combattez les cybermenaces avec des outils d’IA de nouvelle génération
Prêt à relever les nouveaux défis de cybersécurité basés sur l’IA ? Rejoignez notre webinaire perspicace avec Zscaler pour répondre à la menace croissante de l’IA générative dans la cybersécurité.
Cela fait également suite à de nouveaux détails publiés par Google Project Zero concernant l’exploitation à l’état sauvage de CVE-2023-0266 et CVE-2023-26083 en décembre 2022 par des fournisseurs de logiciels espions commerciaux pour cibler les appareils Android de Samsung aux Émirats arabes unis et obtenir un accès arbitraire en lecture/écriture au noyau.
On pense que les failles ont été utilisées aux côtés de trois autres failles : CVE-2022-4262, CVE-2022-3038, CVE-2022-22706 – par un client ou partenaire d’une société espagnole de logiciels espions connue sous le nom de Variston IT.
« Il est également particulièrement intéressant de noter que cet attaquant a créé une chaîne d’exploitation en utilisant plusieurs bugs des pilotes GPU du noyau », a déclaré le chercheur en sécurité Seth Jenkins. dit. « Ces pilotes Android tiers ont différents degrés de qualité de code et de régularité de maintenance, ce qui représente une opportunité notable pour les attaquants. »