CVE-2023-4863: Heap buffer overflow en libwebp (WebP) de Google
La vulnerabilidad CVE-2023-4863 se encuentra en la librería de código abierto Libwebp y afecta a navegadores como Mozilla, Chrome o Edge
El pasado 06 de septiembre de 2023, Apple Security Engineering and Architecture (SEAR) y The Citizen Lab de la Universidad de Toronto reportaron una vulnerabilidad crítica que afecta a una librería de compresión de imágenes usada en Chromium y otras soluciones de software que soportan el formato WebP.
WebP es un formato de imagen que ofrece una compresión con y sin pérdida superior para imágenes en la Web. Gracias a WebP, desarrolladores y webmasters tienen la capacidad de generar imágenes más compactas y de alta calidad, lo que conduce a una mejora significativa en la velocidad de carga de las páginas web.
Google desarrolló una librería de código abierto que permite manipular imágenes en formato WebP, conocida como Libwebp, proporcionando herramientas y funciones para la codificación y decodificación de imágenes en este formato.
La vulnerabilidad CVE-2023-4863 se encuentra en esa librería, concretamente en la función BuildHuffmanTable, utilizada para validar los datos. El problema radica en que esta función asigna memoria extra si la tabla existente no es lo suficientemente grande para los datos válidos, permitiendo, en la práctica, escribir fuera de los límites establecidos en la memoria a la hora de procesar una imagen maliciosa en formato WebP, pudiendo provocar la ejecución arbitraria de código.
Esta vulnerabilidad no solo afecta a los principales navegadores, tales como Mozilla Firefox o los basados en Chromium (Google Chrome, Microsoft Edge, Opera, Vivaldi, Brave, …) sino que también afecta a aplicaciones como Thunderbird, Honeyview, Signal Electron, Affinity, Gimp, Inkscape, LibreOffice, Telegram, ffmpeg o 1Password, entre otras.
El equipo de Chromium ya ha informado de la existencia de un exploit para este zero-day, por lo que se recomienda actualizar los productos afectados lo antes posible.
Características principales de CVE-2023-4863
A continuación, se detallan las características principales de esta vulnerabilidad.
- Identificador CVE: CVE-2023-4863
- Fecha de publicación: 12/09/2023
- Software Afectado: Navegadores como Mozilla Firefox o los basados en Chromium (Google Chrome, Microsoft Edge, Opera, Vivaldi, Brave); y aplicaciones como Thunderbird, Honeyview, Signal Electron, Affinity, Gimp, Inkscape, LibreOffice, Telegram, ffmpeg o 1Password, entre otras.
- CVSS Score: 8.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H)
- Versiones afectadas
- Son múltiples los productos afectados. Las versiones afectadas de ellos son las inferiores a las listadas en la tabla de Mitigación.
Mitigación
La solución principal consiste en actualizar urgentemente los productos afectados a las nuevas versiones disponibles que corrigen la vulnerabilidad CVE-2023-4863.
A continuación, se lista la información relacionada de algunos de ellos:
| Versión afectada | Versión corregida | Documentación |
|---|---|---|
| Google Chrome | Versión 116.0.5845.187 (Mac y Linux) Versión 116.0.5845.187/.188 (Windows) |
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html |
| Mozilla Firefox | Versión 117.0.1 Versión ESR 102.15.1 Versión ESR 115.2.1 |
https://www.mozilla.org/en-US/security/advisories/mfsa2023-40/ |
| Thunderbird | Versión 102.15.1 Versión 115.2.2 |
|
| Microsoft Edge | Versión 116.0.1938.81 | https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-4863 |
| Brave | Versión 1.58.124 | https://github.com/brave/brave-browser/issues/33032 |
| Opera | Versión 102.0.4880.51 | https://blogs.opera.com/desktop/2023/09/opera-102-0-4880-51-stable-update/ |
| Vivaldi | Versión 6.2 | https://vivaldi.com/blog/desktop/minor-update-three-6-2/ |
| Honeyview | Versión 5.51 | https://en.bandisoft.com/honeyview/history/ |
La mayoría de los productos afectados disponen de actualizaciones automáticas por defecto, por lo que solo se requiere reiniciar la aplicación. En caso contrario, se debe aplicar la actualización de forma manual lo antes posible.
Es importante mencionar que la lista de productos afectados no deja de crecer, por lo que se recomienda estar atento a futuras actualizaciones de esta vulnerabilidad.
Detección de la vulnerabilidad
Los detalles de la vulnerabilidad CVE-2023-4863 son complejos, por lo que se recomienda confiar en el parche aplicado por el fabricante en las últimas versiones de los productos afectados que corrigen esta vulnerabilidad, y verificar así que nuestras aplicaciones/navegadores afectados dispongan de una versión igual o superior.
Como parte de su servicio de vulnerabilidades emergentes, Tarlogic monitoriza de forma proactiva el perímetro de sus clientes para informar, detectar y notificar urgentemente la presencia de esta vulnerabilidad, así como otras amenazas críticas que podrían causar un grave impacto sobre la seguridad de sus activos.
Actualización 28/09/2023: La vulnerabilidad CVE-2023-5217
Pese a que inicialmente la vulnerabilidad CVE-2023-4863 se vinculase a Google Chrome, la vulnerabilidad se encuentra realmente en la librería LibWebP. Por ello, el 25 de septiembre se creó un nuevo identificador CVE dedicado, el CVE-2023-5217. Se trata de la misma vulnerabilidad, pero vinculándola a la librería y no al navegador Google Chrome exclusivamente. A este nuevo identificador, además, Google le asignó la criticidad más alta posible, con un CVSS3.1 de valor 10.
A día 27 de septiembre, esta nueva asignación de CVE fue rechazada como duplicada de la CVE-2023-4863.
Pese a todo, la vulnerabilidad sigue afectando a todo el software que hace uso de la librería LibWebP.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2023-4863
- https://nvd.nist.gov/vuln/detail/CVE-2023-5217
- https://www.cve.org/CVERecord?id=CVE-2023-5129
- https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html
- https://www.mozilla.org/en-US/security/advisories/mfsa2023-40/
- https://chromium.googlesource.com/webm/libwebp
- https://bugzilla.redhat.com/show_bug.cgi?id=2238431
- https://stackdiary.com/critical-vulnerability-in-webp-codec-cve-2023-4863/