Google, vahşi doğada aktif olarak istismar edilen WebP formatındaki görsellerin oluşturulmasına yönelik libwebp görsel kitaplığında kritik bir güvenlik açığı için yeni bir CVE tanımlayıcısı atadı.
Şu şekilde izlendi: CVE-2023-5129, CVSS derecelendirme sisteminde soruna maksimum önem puanı olan 10,0 verilmiştir. Huffman kodlama algoritmasından kaynaklanan bir sorun olarak tanımlandı.
Özel hazırlanmış bir WebP kayıpsız dosyasıyla libwebp, yığının sınırlarının dışındaki verileri yazabilir. ReadHuffmanCodes() işlevi, HuffmanCode arabelleğini önceden hesaplanmış boyutlardan oluşan bir diziden gelen bir boyutla ayırır: kTableSize. color_cache_bits değeri hangi boyutun kullanılacağını tanımlar. kTableSize dizisi yalnızca 8 bitlik birinci düzey tablo aramaları için boyutları dikkate alır, ancak ikinci düzey tablo aramalarını dikkate almaz. libwebp, 15 bit’e (MAX_ALLOWED_CODE_LENGTH) kadar olan kodlara izin verir. BuildHuffmanTable() ikinci düzey tabloları doldurmaya çalıştığında, verileri sınırların dışına yazabilir. Küçük boyutlu diziye OOB yazma işlemi ReplicateValue’da gerçekleşir.
Bu gelişme, Apple, Google ve Mozilla’nın, özel hazırlanmış bir görüntüyü işlerken rastgele kod yürütülmesine neden olabilecek, CVE-2023-41064 ve CVE-2023-4863 olarak ayrı ayrı takip edilen bir hatayı içeren düzeltmeler yayınlamasının ardından geldi. Her iki kusurun da kütüphanedeki aynı temel sorunu giderdiğinden şüpheleniliyor.
Citizen Lab’a göre CVE-2023-41064’ün, Pegasus olarak bilinen paralı asker casus yazılımını dağıtmak için BLASTPASS adlı sıfır tıklamalı iMessage istismar zincirinin bir parçası olarak 2023-41061 ile zincirlendiği söyleniyor. Ek teknik ayrıntılar şu anda bilinmiyor.
Ancak CVE-2023-4863’ü Google Chrome’daki bir güvenlik açığı olarak “yanlış bir şekilde kapsama” alma kararı, bunun aynı zamanda WebP görüntülerini işlemek için libwebp kitaplığına dayanan diğer tüm uygulamaları da fiilen etkilediği gerçeğini yalanladı; bu da onun daha önce düşünülenden daha geniş bir etkiye sahip olduğunu gösteriyor .
Geçen hafta Rezillion tarafından yapılan bir analiz, CVE-2023-4863’e karşı savunmasız olan, yaygın olarak kullanılan uygulamaların, kod kitaplıklarının, çerçevelerin ve işletim sistemlerinin bir listesini ortaya çıkardı.
Şirket, “Bu paket, boyut ve hız açısından JPEG ve PNG’den daha iyi performans göstererek verimliliğiyle öne çıkıyor” dedi. “Sonuç olarak, çok sayıda yazılım, uygulama ve paket bu kitaplığı benimsedi, hatta libwebp’in bağımlılıkları olduğu paketleri bile benimsedi.”
“Libwebp’in yaygınlığı, saldırı yüzeyini önemli ölçüde genişleterek hem kullanıcılar hem de kuruluşlar için ciddi endişelere yol açıyor.”
Açıklama, Google’ın CVE-2023-4863 düzeltmelerini, 15572.50.0 sürümünün (tarayıcı sürümü 117.0.5938.115) yayınlanmasıyla ChromeOS ve ChromeOS Flex için Stabil kanalını içerecek şekilde genişletmesiyle geldi.
Yapay Zeka ile Yapay Zekayla Mücadele Edin — Yeni Nesil Yapay Zeka Araçlarıyla Siber Tehditlerle Mücadele Edin
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Becerilerinizi Güçlendirin
Ayrıca, Aralık 2022’de CVE-2023-0266 ve CVE-2023-26083’ün ticari casus yazılım satıcıları tarafından BAE’deki Samsung’un Android cihazlarını hedef almak ve isteğe bağlı olarak çekirdek elde etmek amacıyla kullanımda kullanılmasına ilişkin Google Project Zero tarafından yayınlanan yeni ayrıntıları da takip ediyor. okuma/yazma erişimi.
Kusurların, Variston IT olarak bilinen bir İspanyol casus yazılım şirketinin bir müşterisi veya ortağı tarafından diğer üç kusurla (CVE-2022-4262, CVE-2022-3038, CVE-2022-22706) birlikte kullanıldığına inanılıyor.
Güvenlik araştırmacısı Seth Jenkins, “Bu saldırganın, çekirdek GPU sürücülerinden gelen birden fazla hatayı kullanarak bir istismar zinciri oluşturması da özellikle dikkat çekicidir” dedi. “Bu üçüncü taraf Android sürücüleri, değişen derecelerde kod kalitesine ve bakım düzenliliğine sahip ve bu, saldırganlar için kayda değer bir fırsat temsil ediyor.”