Google je dodijelio novi CVE identifikator za kritičnu sigurnosnu grešku u biblioteci slika libwebp za prikazivanje slika u WebP formatu koji je bio pod aktivnom eksploatacijom.
Praćen kao CVE-2023-5129 , problem je dobio maksimalnu ocjenu ozbiljnosti od 10,0 na CVSS sistemu ocjenjivanja. Opisan je kao problem ukorijenjen u Huffmanovom algoritmu kodiranja –
Sa posebno kreiranom WebP datotekom bez gubitaka, libwebp može pisati podatke izvan granica u hrpu. Funkcija ReadHuffmanCodes() dodeljuje HuffmanCode bafer sa veličinom koja dolazi iz niza unapred izračunatih veličina: kTableSize. Vrijednost color_cache_bits definira koju veličinu koristiti. Niz kTableSize samo uzima u obzir veličine za 8-bitne pretrage tablice prve razine, ali ne i pretrage tablice druge razine. libwebp dozvoljava kodove koji su do 15-bitni (MAX_ALLOWED_CODE_LENGTH). Kada BuildHuffmanTable() pokuša popuniti tabele drugog nivoa, može upisivati podatke izvan granica. OOB upisivanje u niz premale veličine se dešava u ReplicateValue.
Razvoj dolazi nakon što su Apple, Google i Mozilla objavili ispravke koje sadrže grešku – praćenu zasebno kao CVE-2023-41064 i CVE-2023-4863 – koja bi mogla uzrokovati proizvoljno izvršavanje koda prilikom obrade posebno kreirane slike. Sumnja se da obe mane tiču istog osnovnog problem sa bibliotekom.
Prema Citizen Lab-u, za CVE-2023-41064 se kaže da je povezan sa 2023-41061 kao dio lanca eksploatacije iMessage bez klika pod nazivom BLASTPASS za postavljanje špijunskog najamnog softvera poznatog kao Pegasus. Dodatni tehnički detalji trenutno nisu poznati.
Ali odluka da se CVE-2023-4863 “pogrešno obuhvati” kao ranjivost u Google Chrome-u opovrgnula je činjenicu da on također praktički utiče na svaku drugu aplikaciju koja se oslanja na libwebp biblioteku za obradu WebP slika, što ukazuje da je imala širi uticaj nego što se mislilo.
Analiza iz Rezillion-a prošle sedmice otkrila je listu široko korišćenih aplikacija, biblioteka kodova, okvira i operativnih sistema koji su ranjivi na CVE-2023-4863.
“Ovaj paket se ističe po svojoj efikasnosti, nadmašujući JPEG i PNG u smislu veličine i brzine”, rekli su iz kompanije. “Slijedom toga, mnoštvo softvera, aplikacija i paketa usvojilo je ovu biblioteku, ili čak usvojilo pakete o kojima ovisi libwebp.”
“Prava rasprostranjenost libwebp-a značajno proširuje površinu napada, izazivajući ozbiljnu zabrinutost i za korisnike i za organizacije.”
Otkrivanje stiže pošto je Google proširio popravke za CVE-2023-4863 kako bi uključio stabilni kanal za ChromeOS i ChromeOS Flex s izdanjem verzije 15572.50.0 (verzija pretraživača 117.0.5938.115).
Takođe prati nove detalje koje je objavio Google Project Zero u vezi sa eksploatacijom CVE-2023-0266 i CVE-2023-26083 u decembru 2022. od strane komercijalnih prodavaca špijunskog softvera kako bi ciljali Android uređaje kompanije Samsung u UAE i dobili kernel proizvoljni pristup za čitanje/pisanje.
Vjeruje se da su ranjivosti korištene zajedno s tri druge mane – CVE-2022-4262, CVE-2022-3038, CVE-2022-22706 – od strane kupca ili partnera španske kompanije za špijunski softver poznate kao Variston IT.
“Takođe je posebno važno da je ovaj haker kreirao lanac eksploatacije koristeći više grešaka iz kernel GPU drajvera”, rekao je istraživač sigurnosti Seth Jenkins. “Ovi Android drajveri treće strane imaju različite stepene kvaliteta koda i redovnosti održavanja, i to predstavlja značajnu priliku za napadače.”
Izvor: The Hacker News