Ugrás a fő tartalomhoz

CVE-2023-4863: Kritikus heap buffer túlcsordulási sérülékenység a libwebp könyvtárban

Ebben a bejegyzésben a CVE-2023-4863 azonosítójú, kritikus biztonsági hibát tárgyaljuk, amely a libwebp nevű népszerű, veszteségmentes képtömörítő könyvtárat érinti. Ezt a könyvtárat számos alkalmazás, köztük a Google Chrome is használja.

Mi ez a sérülékenység?

Ez a sérülékenység lehetővé teszi, hogy távoli támadók túllépjenek az engedélyezett memóriahatárokon, és tetszőleges adatokat írjanak a memóriába egy speciálisan kialakított HTML-oldalon keresztül. Ez akár tetszőleges kód futtatásához is vezethet az alkalmazás jogosultságaival, például ha a felhasználó egy rosszindulatú weboldalt látogat meg.

Hogyan működik?

A hiba a libwebp által használt WebP képformátum feldolgozásában rejlik. Egy támadó olyan képet tud létrehozni, amely hibás bemeneti adatot tartalmaz, és ennek betöltésekor a könyvtár nem megfelelő határellenőrzése miatt túlcsordulás következik be. Ez memóriaterületek felülírásához és kódfuttatáshoz vezethet.

Kik érintettek?

Érintettek azok a rendszerek, amelyek:

  • a Google Chrome 116.0.5845.187 előtti verzióját futtatják, vagy
  • a libwebp könyvtár 1.3.2 előtti verzióját használják

Ez több operációs rendszert is érint, például Debian, Ubuntu, Fedora, Windows stb.

Enyhítési lépések

A rendszer védelme érdekében javasolt:

  1. Frissíteni a Google Chrome böngészőt vagy a libwebp könyvtárat a legújabb, biztonságos verzióra (legalább 1.3.2).
  2. Kerülni az ismeretlen vagy gyanús webhelyek látogatását, különösen azokét, amelyek WebP képeket tartalmaznak.
  3. Folyamatosan figyelni a rendszerfrissítésekre és biztonsági javításokra, és azokat időben alkalmazni.

Hivatkozott források

  1. Google Chrome – Biztonsági frissítés, 2023. szeptember
  2. libwebp – Hivatalos biztonsági figyelmeztetés
  3. Openwall, isosceles blog, Seth M. Larson elemzés

Források