Vulnerabilidad en la librería libwebp para imágenes WebP

Vulnerabilidad en la librería libwebp para imágenes WebP
Vie, 29/09/2023 – 09:10

Recursos Afectados

En un principio, se identificó como una vulnerabilidad reportada por Apple y Citizen Lab que afectaba a Google Chrome y se le asignó el código CVE-2023-4863.

Investigaciones posteriores revelaron que la vulnerabilidad realmente se trataba de un 0day en explotación activa y que afectaba a cualquier software que utilizase el codec de imágenes WebP mediante la librería libwebp, asignando un nuevo identificador: CVE-2023-5129.

En el artículo de Cyber Kendra se recoge un listado de productos, aplicaciones, servicios, plataformas, sistemas operativos, compañías, etc. que emplea la librería de codec WebP afectada.

Descripción

Se ha identificado una vulnerabilidad crítica 0day en la librería libwebp. Mediante la creación y el envío a potenciales víctimas de imágenes WebP maliciosas, los atacantes podrían aprovechar esta vulnerabilidad para ejecutar código arbitrario y acceder a datos confidenciales del usuario.

5 – Crítica
Solución

La lista de proveedores afectados que han publicado parche para solucionar esta vulnerabilidad se puede consultar en el artículo de Cyber Kendra. Este listado se irá actualizando conforme los afectados publiquen sus soluciones.

Detalle

La vulnerabilidad existe en el componente de compresión sin pérdidas de la librería de código abierto libwebp, que proporciona codificación y decodificación de imágenes en formato WebP. En concreto, se trata de un problema de desbordamiento de búfer del montículo (heap), en el algoritmo de codificación Huffman utilizado para la compresión sin pérdidas en imágenes WebP.

La explotación exitosa de esta vulnerabilidad requiere una interacción de usuario moderadamente compleja, pero permite la ejecución remota de código. Se ha asignado el identificador CVE-2023-5129 para esta vulnerabilidad.

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.