Google ha asignado un nuevo identificador CVE para una falla de seguridad crítica en la biblioteca de imágenes libwebp para representar imágenes en formato WebP que ha sido objeto de explotación activa en la naturaleza.
Registrado como CVE-2023-5129 , el problema recibió la puntuación de gravedad máxima de 10,0 en el sistema de clasificación CVSS. Se ha descrito como un problema arraigado en el algoritmo de codificación de Huffman .
Con un archivo WebP sin pérdidas especialmente diseñado, libwebp puede escribir datos fuera de los límites del montón. La función ReadHuffmanCodes() asigna el búfer HuffmanCode con un tamaño que proviene de una matriz de tamaños precalculados: kTableSize. El valor color_cache_bits define qué tamaño usar. La matriz kTableSize solo tiene en cuenta los tamaños para búsquedas de tablas de primer nivel de 8 bits, pero no para búsquedas de tablas de segundo nivel. libwebp permite códigos de hasta 15 bits (MAX_ALLOWED_CODE_LENGTH). Cuando BuildHuffmanTable() intenta llenar las tablas de segundo nivel, puede escribir datos fuera de los límites. La escritura OOB en la matriz de tamaño insuficiente ocurre en ReplicateValue.
El desarrollo se produce después de que Apple , Google y Mozilla publicaran correcciones para contener un error (rastreado por separado como CVE-2023-41064 y CVE-2023-4863) que podría provocar la ejecución de código arbitrario al procesar una imagen especialmente diseñada. Se sospecha que ambas fallas abordan el mismo problema subyacente en la biblioteca.
Según Citizen Lab, se dice que CVE-2023-41064 se encadenó con 2023-41061 como parte de una cadena de exploits de iMessage sin clic llamada BLASTPASS para implementar un software espía mercenario conocido como Pegasus. Actualmente se desconocen detalles técnicos adicionales.
Pero la decisión de «alcanzar erróneamente» CVE-2023-4863 como una vulnerabilidad en Google Chrome contradecía el hecho de que también afecta virtualmente a todas las demás aplicaciones que dependen de la biblioteca libwebp para procesar imágenes WebP, lo que indica que tuvo un impacto más amplio de lo que se pensaba anteriormente. .
Un análisis de Rezillion la semana pasada reveló una larga lista de aplicaciones, bibliotecas de códigos, marcos y sistemas operativos ampliamente utilizados que son vulnerables a CVE-2023-4863.
«Este paquete destaca por su eficiencia, superando a JPEG y PNG en términos de tamaño y velocidad», afirmó la compañía . «En consecuencia, una multitud de software, aplicaciones y paquetes han adoptado esta biblioteca, o incluso han adoptado paquetes de los que libwebp es su dependencia».
«La mera prevalencia de libwebp amplía significativamente la superficie de ataque, lo que genera serias preocupaciones tanto para los usuarios como para las organizaciones».
La divulgación llega cuando Google amplió las correcciones para CVE-2023-4863 para incluir el canal estable para ChromeOS y ChromeOS Flex con el lanzamiento de la versión 15572.50.0 (versión del navegador 117.0.5938.115).
También sigue a los nuevos detalles publicados por Google Project Zero sobre la explotación salvaje de CVE-2023-0266 y CVE-2023-26083 en diciembre de 2022 por parte de proveedores comerciales de software espía para apuntar a dispositivos Android de Samsung en los Emiratos Árabes Unidos y obtener kernel arbitrario. acceso de lectura/escritura.
Se cree que las fallas fueron utilizadas junto con otras tres fallas ( CVE-2022-4262 , CVE-2022-3038 , CVE-2022-22706 ) por un cliente o socio de una empresa española de software espía conocida como Variston IT.
«También es particularmente digno de mención que este atacante creó una cadena de exploits utilizando múltiples errores de los controladores de GPU del kernel», dijo el investigador de seguridad Seth Jenkins . «Estos controladores de Android de terceros tienen distintos grados de calidad del código y regularidad de mantenimiento, y esto representa una oportunidad notable para los atacantes».
Fuente y redacción: thehackernews.com
