CarderPlanet
Professional
Google присвоил новый идентификатор CVE критической уязвимости безопасности в библиотеке изображений libwebp для рендеринга изображений в формате WebP, который активно использовался в дикой природе.
Отслеживаемая как CVE-2023-5129, проблеме присвоен максимальный балл серьезности 10,0 в рейтинговой системе CVSS. Она была описана как проблема, коренящаяся в алгоритме кодирования Хаффмана -
С помощью специально созданного файла WebP без потерь libwebp может записывать данные за пределы кучи. Функция ReadHuffmanCodes() присваивает буферу HuffmanCode размер, который берется из массива предварительно вычисленных размеров: kTableSize. Значение color_cache_bits определяет, какой размер использовать. Массив kTableSize учитывает размеры только для 8-разрядных запросов таблицы первого уровня, но не для запросов таблицы второго уровня. libwebp допускает коды длиной до 15 бит (MAX_ALLOWED_CODE_LENGTH). Когда buildhuffmant() пытается заполнить таблицы второго уровня, это может привести к записи данных за пределы. Запись OOB в массив меньшего размера происходит в ReplicateValue.
Разработка началась после того, как Apple, Google и Mozilla выпустили исправления, содержащие ошибку, отслеживаемую отдельно как CVE-2023-41064 и CVE-2023-4863 – это может привести к выполнению произвольного кода при обработке специально созданного изображения. Предполагается, что оба недостатка устраняют одну и ту же основную проблему в библиотеке.
По данным Citizen Lab, CVE-2023-41064, как говорят, был связан с 2023-41061 как часть цепочки эксплойтов iMessage с нулевым щелчком мыши под названием BLASTPASS для развертывания шпионского ПО-наемнику, известного как Pegasus. Дополнительные технические подробности в настоящее время неизвестны.
Но решение "ошибочно определить" CVE-2023-4863 как уязвимость в Google Chrome опровергло тот факт, что она также практически влияет на все другие приложения, которые используют библиотеку libwebp для обработки изображений WebP, указывая на то, что она оказала более широкое влияние, чем считалось ранее.
Анализ, проведенный Rezillion на прошлой неделе, выявил полный список широко используемых приложений, библиотек кода, фреймворков и операционных систем, уязвимых для CVE-2023-4863.
"Этот пакет выделяется своей эффективностью, превосходя JPEG и PNG по размеру и скорости", - заявили в компании. "Следовательно, множество программного обеспечения, приложений и пакетов приняли эту библиотеку или даже приняли пакеты, зависящие от libwebp".
"Сама распространенность libwebp значительно расширяет поверхность атаки, вызывая серьезные опасения как у пользователей, так и у организаций".
Раскрытие информации появилось после того, как Google расширил исправления для CVE-2023-4863, включив стабильный канал для ChromeOS и ChromeOS Flex с выпуском версии 15572.50.0 (версия браузера 117.0.5938.115).
Это также следует за новыми подробностями, опубликованными Google Project Zero относительно использования CVE-2023-0266 и CVE-2023-26083 в дикой природе в декабре 2022 года коммерческими поставщиками шпионских программ для нацеливания на Android-устройства Samsung в ОАЭ и получения произвольного доступа ядра для чтения / записи.
Считается, что эти недостатки были использованы наряду с тремя другими недостатками – CVE-2022-4262, CVE-2022-3038, CVE-2022-22706 – клиентом или партнером испанской шпионской компании, известной как Variston IT.
"Также особенно примечательно, что этот злоумышленник создал цепочку эксплойтов, используя множество ошибок в драйверах графического процессора ядра", - сказал исследователь безопасности Сет Дженкинс. "Эти сторонние драйверы Android отличаются разной степенью качества кода и регулярностью обслуживания, и это представляет собой заметную возможность для злоумышленников".
Отслеживаемая как CVE-2023-5129, проблеме присвоен максимальный балл серьезности 10,0 в рейтинговой системе CVSS. Она была описана как проблема, коренящаяся в алгоритме кодирования Хаффмана -
С помощью специально созданного файла WebP без потерь libwebp может записывать данные за пределы кучи. Функция ReadHuffmanCodes() присваивает буферу HuffmanCode размер, который берется из массива предварительно вычисленных размеров: kTableSize. Значение color_cache_bits определяет, какой размер использовать. Массив kTableSize учитывает размеры только для 8-разрядных запросов таблицы первого уровня, но не для запросов таблицы второго уровня. libwebp допускает коды длиной до 15 бит (MAX_ALLOWED_CODE_LENGTH). Когда buildhuffmant() пытается заполнить таблицы второго уровня, это может привести к записи данных за пределы. Запись OOB в массив меньшего размера происходит в ReplicateValue.
Разработка началась после того, как Apple, Google и Mozilla выпустили исправления, содержащие ошибку, отслеживаемую отдельно как CVE-2023-41064 и CVE-2023-4863 – это может привести к выполнению произвольного кода при обработке специально созданного изображения. Предполагается, что оба недостатка устраняют одну и ту же основную проблему в библиотеке.
По данным Citizen Lab, CVE-2023-41064, как говорят, был связан с 2023-41061 как часть цепочки эксплойтов iMessage с нулевым щелчком мыши под названием BLASTPASS для развертывания шпионского ПО-наемнику, известного как Pegasus. Дополнительные технические подробности в настоящее время неизвестны.
Но решение "ошибочно определить" CVE-2023-4863 как уязвимость в Google Chrome опровергло тот факт, что она также практически влияет на все другие приложения, которые используют библиотеку libwebp для обработки изображений WebP, указывая на то, что она оказала более широкое влияние, чем считалось ранее.
Анализ, проведенный Rezillion на прошлой неделе, выявил полный список широко используемых приложений, библиотек кода, фреймворков и операционных систем, уязвимых для CVE-2023-4863.
"Этот пакет выделяется своей эффективностью, превосходя JPEG и PNG по размеру и скорости", - заявили в компании. "Следовательно, множество программного обеспечения, приложений и пакетов приняли эту библиотеку или даже приняли пакеты, зависящие от libwebp".
"Сама распространенность libwebp значительно расширяет поверхность атаки, вызывая серьезные опасения как у пользователей, так и у организаций".
Раскрытие информации появилось после того, как Google расширил исправления для CVE-2023-4863, включив стабильный канал для ChromeOS и ChromeOS Flex с выпуском версии 15572.50.0 (версия браузера 117.0.5938.115).
Это также следует за новыми подробностями, опубликованными Google Project Zero относительно использования CVE-2023-0266 и CVE-2023-26083 в дикой природе в декабре 2022 года коммерческими поставщиками шпионских программ для нацеливания на Android-устройства Samsung в ОАЭ и получения произвольного доступа ядра для чтения / записи.
Считается, что эти недостатки были использованы наряду с тремя другими недостатками – CVE-2022-4262, CVE-2022-3038, CVE-2022-22706 – клиентом или партнером испанской шпионской компании, известной как Variston IT.
"Также особенно примечательно, что этот злоумышленник создал цепочку эксплойтов, используя множество ошибок в драйверах графического процессора ядра", - сказал исследователь безопасности Сет Дженкинс. "Эти сторонние драйверы Android отличаются разной степенью качества кода и регулярностью обслуживания, и это представляет собой заметную возможность для злоумышленников".
