【已复现】Google libwebp 远程代码执行漏洞(CVE-2023-4863)安全风险通告第二次更新
【已复现】Google libwebp 远程代码执行漏洞(CVE-2023-4863)安全风险通告第二次更新
原创 QAX CERT 奇安信 CERT 2023-09-28 18:21
●
点击↑蓝字关注我们,获取更多安全风险通告
|
漏洞概述 |
|||
|
漏洞名称 |
Google libwebp 远程代码执行漏洞 |
||
|
漏洞编号 |
QVD-2023-21923、CVE-2023-4863 |
||
|
公开时间 |
2023-09-11 |
影响对象数量级 |
亿级 |
|
奇安信评级 |
高危 |
CVSS 3.1分数 |
8.8 |
|
威胁类型 |
代码执行 |
利用可能性 |
高 |
|
POC状态 |
已公开 |
在野利用状态 |
已发现 |
|
EXP状态 |
未公开 |
技术细节状态 |
已公开 |
|
利用条件:需要交互。 |
|||
(注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。)
01
漏洞详情
>
>
>
>
影响组件
Libwebp是一个开源的用于编码和解码WebP图像格式的C/C++库。它提供了一组函数和工具,用于将图像数据编码为WebP格式,并将WebP格式的图像解码为原始图像数据。Libwebp库可以作为其他程序的依赖库,用于添加WebP图像格式的支持。Libwebp应用范围非常广泛,被使用到各个软件上面。
>
>
>
>
漏洞描述
近日,奇安信CERT监测到Google libwebp远程代码执行漏洞(CVE-2023-4863):
libwebp在解析无损的WebP图片时,会使用霍夫曼编码(Huffman coding) 来构造霍夫曼编码表,并进行解码得到原始图像。在分配霍夫曼编码表的内存空间时,解码器提前会将所有一级表和二级表的空间同时分配。但是由于霍夫曼编码表数据读取自图片,未正确校验数据大小。当攻击者构造非法的霍夫曼表时,可以使得表的总内存大小超过预分配的大小,导致堆缓冲区溢出漏洞。
目前,奇安信CERT已监测到此漏洞在野利用。鉴于此漏洞影响范围极大,建议客户尽快做好自查及防护。
本次更新内容:
新增奇安信产品解决方案;
处置建议增加各厂商受该漏洞影响产品更新链接;
新增 Google libwebp远程代码执行漏洞(CVE-2023-4863)复现截图。
02
影响范围
>
>
>
>
影响版本
libwebp < 1.3.2
>
>
>
>
其他受影响组件
包含libwebp库的主流浏览器、Linux操作系统以及大量开源软件。
03
复现情况
目前,奇安信CERT已成功复现Google libwebp远程代码执行漏洞(CVE-2023-4863)
,截图如下:
04
处置建议
>
>
>
>
安全更新
目前官方已发布安全修复更新,受影响用户可以更新到libwebp 1.3.2及以上版本
。
此外,Google公司及受影响的产品(服务)厂商已陆续发布新版本修复该漏洞,建议受漏洞影响的产品(服务)厂商、信息系统运营者和用户尽快进行自查,及时进行版本更新和漏洞修复。
|
Google libwebp |
https://storage.googleapis.com/downloads.webmproject.org/releases/webp/index.html |
|
Google Chrome |
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html |
|
Microsoft Edge |
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-4863 |
|
Mozilla Firefox |
https://www.mozilla.org/en-US/security/advisories/mfsa2023-40/ |
|
Electron |
https://github.com/electron/electron/pull/39828 |
|
Ubuntu |
https://launchpad.net/ubuntu/+source/libwebp/1.2.4-0.3 |
|
Debian |
https://www.debian.org/security/2023/dsa-5497-2 |
|
Redhat |
https://access.redhat.com/errata/RHSA-2023:5309 |
|
Alpine |
https://security.alpinelinux.org/vuln/CVE-2023-4863 |
|
Gentoo |
https://security.gentoo.org/glsa/202309-05 |
|
SUSE |
https://www.suse.com/security/cve/CVE-2023-4863.html |
|
Oracle |
https://linux.oracle.com/cve/CVE-2023-4863.html |
|
Fedora |
https://bodhi.fedoraproject.org/updates/FEDORA-2023-c4fa8a204d |
|
Anolis 龙蜥 |
https://anas.openanolis.cn/cves/detail/CVE-2023-4863 |
>
>
>
>
产品解决方案
奇安信开源卫士已支持
奇安信开源卫士20230928. 398版本已支持对Google libwebp远程代码执行漏洞(CVE-2023-4863)的检测。
05
参考资料
[1]https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html
[2]https://github.com/advisories/GHSA-hhrh-69hc-fgg7
[3]https://storage.googleapis.com/downloads.webmproject.org/releases/webp/index.html
[4]https://chromium.googlesource.com/webm/libwebp/+/902bc9190331343b2017211debcec8d2ab87e17a
[5]https://mp.weixin.qq.com/s/PBHkHB97Q_ivgfQL8Me60g
06
时间线
2023年9月12日,奇安信CERT监测到Google Chrome 远程代码执行漏洞(CVE-2023-4863)存在在野利用,创建初始报告;
2023年9月27日,谷歌确认Chrome在野0day漏洞(CVE-2023-4863)实际上是存在于libwebp库中的漏洞:CVE-2023-5129,奇安信 CERT发布安全风险通告;
2023年9月28日,目前由于CVE-2023-5129与CVE-2023-4863重复,CVE-2023-5129编号已被撤回,奇安信 CERT复现此漏洞,发布第二次更新通告。
07
漏洞情报服务
奇安信ALPH
A威胁分析平台已支持漏洞情报订阅服务:
奇安信 CERT
致力于
第一时间为企业级用户提供权威漏洞情报和有效
解决方案。
点击↓阅读原文,到ALPHA威胁分析平台
订阅
更多漏洞信息。