● 点击↑蓝字关注我们,获取更多安全风险通告
漏洞概述 | |||
漏洞名称 | |||
漏洞编号 | QVD-2023-21923、CVE-2023-4863 | ||
公开时间 | 2023-09-11 | 影响对象数量级 | 亿级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 8.8 |
威胁类型 | 代码执行 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 已发现 |
EXP状态 | 未公开 | 技术细节状态 | 已公开 |
利用条件:需要交互。 | |||
(注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。)
影响组件
Libwebp是一个开源的用于编码和解码WebP图像格式的C/C++库。它提供了一组函数和工具,用于将图像数据编码为WebP格式,并将WebP格式的图像解码为原始图像数据。Libwebp库可以作为其他程序的依赖库,用于添加WebP图像格式的支持。Libwebp应用范围非常广泛,被使用到各个软件上面。
漏洞描述
近日,奇安信CERT监测到Google libwebp远程代码执行漏洞(CVE-2023-4863):libwebp在解析无损的WebP图片时,会使用霍夫曼编码(Huffman coding) 来构造霍夫曼编码表,并进行解码得到原始图像。在分配霍夫曼编码表的内存空间时,解码器提前会将所有一级表和二级表的空间同时分配。但是由于霍夫曼编码表数据读取自图片,未正确校验数据大小。当攻击者构造非法的霍夫曼表时,可以使得表的总内存大小超过预分配的大小,导致堆缓冲区溢出漏洞。
目前,奇安信CERT已监测到此漏洞在野利用。鉴于此漏洞影响范围极大,建议客户尽快做好自查及防护。
本次更新内容:
新增奇安信产品解决方案;
处置建议增加各厂商受该漏洞影响产品更新链接;
新增 Google libwebp远程代码执行漏洞(CVE-2023-4863)复现截图。
影响版本
libwebp < 1.3.2
其他受影响组件
包含libwebp库的主流浏览器、Linux操作系统以及大量开源软件。
目前,奇安信CERT已成功复现Google libwebp远程代码执行漏洞(CVE-2023-4863),截图如下:
安全更新
目前官方已发布安全修复更新,受影响用户可以更新到libwebp 1.3.2及以上版本。
此外,Google公司及受影响的产品(服务)厂商已陆续发布新版本修复该漏洞,建议受漏洞影响的产品(服务)厂商、信息系统运营者和用户尽快进行自查,及时进行版本更新和漏洞修复。
Google libwebp | https://storage.googleapis.com/downloads.webmproject.org/releases/webp/index.html |
Google Chrome | https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html |
Microsoft Edge | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-4863 |
Mozilla Firefox | https://www.mozilla.org/en-US/security/advisories/mfsa2023-40/ |
Electron | https://github.com/electron/electron/pull/39828 |
Ubuntu | https://launchpad.net/ubuntu/+source/libwebp/1.2.4-0.3 |
Debian | https://www.debian.org/security/2023/dsa-5497-2 |
Redhat | https://access.redhat.com/errata/RHSA-2023:5309 |
Alpine | https://security.alpinelinux.org/vuln/CVE-2023-4863 |
Gentoo | https://security.gentoo.org/glsa/202309-05 |
SUSE | https://www.suse.com/security/cve/CVE-2023-4863.html |
Oracle | https://linux.oracle.com/cve/CVE-2023-4863.html |
Fedora | https://bodhi.fedoraproject.org/updates/FEDORA-2023-c4fa8a204d |
Anolis 龙蜥 | https://anas.openanolis.cn/cves/detail/CVE-2023-4863 |
产品解决方案
奇安信开源卫士已支持
奇安信开源卫士20230928. 398版本已支持对Google libwebp远程代码执行漏洞(CVE-2023-4863)的检测。
[1]https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html
[2]https://github.com/advisories/GHSA-hhrh-69hc-fgg7
[3]https://storage.googleapis.com/downloads.webmproject.org/releases/webp/index.html
[4]https://chromium.googlesource.com/webm/libwebp/+/902bc9190331343b2017211debcec8d2ab87e17a
[5]https://mp.weixin.qq.com/s/PBHkHB97Q_ivgfQL8Me60g
2023年9月12日,奇安信CERT监测到Google Chrome 远程代码执行漏洞(CVE-2023-4863)存在在野利用,创建初始报告;
2023年9月27日,谷歌确认Chrome在野0day漏洞(CVE-2023-4863)实际上是存在于libwebp库中的漏洞:CVE-2023-5129,奇安信 CERT发布安全风险通告;
2023年9月28日,目前由于CVE-2023-5129与CVE-2023-4863重复,CVE-2023-5129编号已被撤回,奇安信 CERT复现此漏洞,发布第二次更新通告。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...