Vulnerabilidade crítica do libwebp obtém score máximo no CVSS

O Google atribuiu um novo identificador CVE para uma falha crítica de segurança na biblioteca de imagens libwebp, usada para renderizar imagens no formato WebP ativamente explorada.

Identificada como CVE-2023-5129, a vulnerabilidade recebeu a pontuação máxima de severidade de 10.0 no sistema de classificação CVSS. Foi descrita como uma questão relacionada com o algoritmo de codificação Huffman.

Com um arquivo WebP especialmente elaborado, a libwebp pode escrever dados fora dos limites para o heap. A função ReadHuffmanCodes() aloca o buffer HuffmanCode com um tamanho obtido a partir de um array de tamanhos pré-computados: kTableSize. O valor color_cache_bits define qual tamanho usar. O array kTableSize considera apenas tamanhos para consultas de tabelas de primeiro nível de 8 bits, mas não para consultas de tabelas de segundo nível. A libwebp permite códigos de até 15 bits (MAX_ALLOWED_CODE_LENGTH). Quando BuildHuffmanTable() tenta preencher as tabelas de segundo nível, pode escrever dados fora dos limites. A gravação fora dos limites no array de tamanho insuficiente ocorre em ReplicateValue.

O desenvolvimento ocorre depois que a Apple, o Google e a Mozilla lançaram correções para conter um bug, rastreado separadamente como CVE-2023-41064 e CVE-2023-4863, que poderia causar a execução de código arbitrário ao processar uma imagem especialmente elaborada. Ambas as falhas suspeita-se que abordem o mesmo problema subjacente na biblioteca.

Segundo o Citizen Lab, o CVE-2023-41064 foi combinado com o CVE-2023-41061 como parte de uma cadeia de exploração zero-click no iMessage chamada BLASTPASS para implantar um spyware mercenário conhecido como Pegasus. Detalhes técnicos adicionais são atualmente desconhecidos.

Mas a decisão de "escopo errado" do CVE-2023-4863 como uma vulnerabilidade no Google Chrome contradiz o fato de que ele virtualmente afeta praticamente todas as outras aplicações que dependem da biblioteca libwebp para processar imagens WebP, indicando que tinha um impacto mais amplo do que se pensava anteriormente.

Uma análise da Rezillion na semana passada revelou uma lista de aplicativos amplamente usados, bibliotecas de código, frameworks e sistemas operacionais que são vulneráveis ao CVE-2023-4863.

"Este pacote se destaca por sua eficiência, superando o JPEG e o PNG em termos de tamanho e velocidade", afirmou a empresa. "Consequentemente, uma infinidade de software, aplicativos e pacotes adotaram esta biblioteca, ou até mesmo pacotes que têm a libwebp como dependência."

"A ampla prevalência da libwebp amplia significativamente a superfície de ataque, levantando sérias preocupações tanto para os usuários quanto para as organizações."

A divulgação ocorre quando o Google expandiu as correções para o CVE-2023-4863 para incluir o canal Stable para ChromeOS e ChromeOS Flex com o lançamento da versão 15572.50.0 (versão do navegador 117.0.5938.115).

Também segue novos detalhes publicados pelo Google Project Zero sobre a exploração em andamento do CVE-2023-0266 e do CVE-2023-26083 em dezembro de 2022 por empresas comerciais de spyware para visar dispositivos Android da Samsung nos Emirados Árabes Unidos e obter acesso de leitura/gravação arbitrário ao kernel.

Acredita-se que as falhas tenham sido usadas juntamente com outras três falhas - CVE-2022-4262, CVE-2022-3038, CVE-2022-22706 - por um cliente ou parceiro de uma empresa espanhola de spyware conhecida como Variston IT.

"Também é particularmente notável que esse atacante criou uma cadeia de exploração usando múltiplos bugs dos drivers de GPU do kernel", disse o pesquisador de segurança Seth Jenkins. "Esses drivers de terceiros para Android têm diferentes níveis de qualidade de código e regularidade de manutenção, o que representa uma oportunidade notável para os atacantes."

Fonte