-
18/08/2021
-
45
-
73 bài viết
Lỗ hổng cực kỳ nghiêm trọng có điểm CVSS 10/10 trong thư viện xử lý hình ảnh WebP
Google đã công bố một CVE mới cho một lỗ hổng an ninh quan trọng trong thư viện hình ảnh libwebp để hiển thị hình ảnh trong định dạng WebP, lỗ hổng này đang bị khai thác rất tích cực trong thực tế.
Đó là CVE-2023-5129, được gán mức điểm cao nhất là 10.0 trên hệ thống đánh giá CVSS. Đây là một lỗi xuất phát từ thuật toán mã hóa Huffman được mô tả như sau:
Với một tệp WebP lossless được tạo ra một cách đặc biệt, libwebp có thể ghi dữ liệu ra khỏi giới hạn của heap. Hàm ReadHuffmanCodes() cấp phát bộ đệm HuffmanCode với một kích thước được lấy từ một mảng các kích thước được tính trước: kTableSize. Giá trị color_cache_bits xác định kích thước nào sẽ được sử dụng. Mảng kTableSize chỉ tính đến các kích thước cho các bảng tra cứu cấp độ 8-bit nhưng không tính đến các bảng tra cứu cấp độ thứ hai. libwebp cho phép các mã có độ dài lên đến 15-bit (MAX_ALLOWED_CODE_LENGTH). Khi BuildHuffmanTable() cố gắng điền vào các bảng cấp độ thứ hai, nó có thể ghi dữ liệu ra khỏi giới hạn. Việc ghi ra khỏi giới hạn cho mảng kích thước nhỏ xảy ra trong ReplicateValue.
Phát hiện này xảy ra sau khi Apple, Google và Mozilla phát hành bản vá để xử lý một lỗi – trong CVE-2023-41064 và CVE-2023-4863 – có thể gây ra thực thi mã tùy ý khi xử lý một hình ảnh được tạo ra đặc biệt. Nghi ngờ rằng cả hai lỗ hổng đều xuất phát từ lỗi trong thư viện.
Theo Citizen Lab, CVE-2023-41064 đã được kết hợp với CVE-2023-41061 như một phần của chuỗi tấn công iMessage zero click được đặt tên là BLASTPASS, để triển khai một phần mềm gián điệp với tên gọi là Pegasus. Các thông tin về kỹ thuật bổ sung hiện chưa được biết đến.
Tuy nhiên, việc cho rằng CVE-2023-4863 là một lỗ hổng trong Google Chrome là không đúng bởi vì trên thực tế nó cũng ảnh hưởng đến nhiều ứng dụng khác phụ thuộc vào thư viện libwebp để xử lý hình ảnh WebP. Điều này chỉ ra rằng lỗ hổng có ảnh hưởng rất rộng.
Công ty Rezillion đã đưa ra một danh sách dài các ứng dụng, thư viện mã nguồn, framework và hệ điều hành phổ biến có nguy cơ bị ảnh hưởng bởi CVE-2023-4863.
"Các package của thư viện libwebp có hiệu suất nổi bật, vượt trội so với JPEG và PNG về kích thước và tốc độ". "Do đó, nhiều phần mềm, ứng dụng và gói phần mềm đã sử dụng thư viện này, thậm chí đã sử dụng các gói phần mềm có libwebp là dependency".
"Sự phổ biến của libwebp mở ra nhiều vấn đề về việc tấn công, đặt ra những lo ngại nghiêm trọng cho cả người dùng và tổ chức".
Google đã đưa ra thông báo về lỗ hổng trên sau khi mở rộng bản vá cho CVE-2023-4863 trong ChromeOS và ChromeOS Flex với việc phát hành phiên bản 15572.50.0 (phiên bản trình duyệt 117.0.5938.115).
Thông báo cũng đến sau khi Google Project Zero công bố các thông tin liên quan đến việc khai thác CVE-2023-0266 và CVE-2023-26083 trong tháng 12 năm 2022 bởi các nhà cung cấp phần mềm gián điệp thương mại để tấn công các thiết bị Android từ Samsung tại Các Tiểu vương quốc Arab Thống nhất và đạt được quyền đọc/ghi tùy ý vào kernel.
Lỗ hổng này có thể đã được sử dụng cùng với ba lỗ hổng khác - CVE-2022-4262, CVE-2022-3038, CVE-2022-22706 - bởi một khách hàng hoặc đối tác của một công ty phần mềm gián điệp Tây Ban Nha được biết đến với tên Variston IT.
Nhà nghiên cứu an ninh Seth Jenkins cho biết "Kẻ tấn công đã tạo ra một chuỗi khai thác sử dụng nhiều lỗ hổng từ các trình điều khiển GPU kernel". "Những trình điều khiển GPU Android của bên thứ ba này có chất lượng mã nguồn và độ thường xuyên cập nhật khác nhau và điều này tạo ra cho hacker cơ hội tấn công đáng kể”.
Đó là CVE-2023-5129, được gán mức điểm cao nhất là 10.0 trên hệ thống đánh giá CVSS. Đây là một lỗi xuất phát từ thuật toán mã hóa Huffman được mô tả như sau:
Với một tệp WebP lossless được tạo ra một cách đặc biệt, libwebp có thể ghi dữ liệu ra khỏi giới hạn của heap. Hàm ReadHuffmanCodes() cấp phát bộ đệm HuffmanCode với một kích thước được lấy từ một mảng các kích thước được tính trước: kTableSize. Giá trị color_cache_bits xác định kích thước nào sẽ được sử dụng. Mảng kTableSize chỉ tính đến các kích thước cho các bảng tra cứu cấp độ 8-bit nhưng không tính đến các bảng tra cứu cấp độ thứ hai. libwebp cho phép các mã có độ dài lên đến 15-bit (MAX_ALLOWED_CODE_LENGTH). Khi BuildHuffmanTable() cố gắng điền vào các bảng cấp độ thứ hai, nó có thể ghi dữ liệu ra khỏi giới hạn. Việc ghi ra khỏi giới hạn cho mảng kích thước nhỏ xảy ra trong ReplicateValue.
Phát hiện này xảy ra sau khi Apple, Google và Mozilla phát hành bản vá để xử lý một lỗi – trong CVE-2023-41064 và CVE-2023-4863 – có thể gây ra thực thi mã tùy ý khi xử lý một hình ảnh được tạo ra đặc biệt. Nghi ngờ rằng cả hai lỗ hổng đều xuất phát từ lỗi trong thư viện.
Theo Citizen Lab, CVE-2023-41064 đã được kết hợp với CVE-2023-41061 như một phần của chuỗi tấn công iMessage zero click được đặt tên là BLASTPASS, để triển khai một phần mềm gián điệp với tên gọi là Pegasus. Các thông tin về kỹ thuật bổ sung hiện chưa được biết đến.
Tuy nhiên, việc cho rằng CVE-2023-4863 là một lỗ hổng trong Google Chrome là không đúng bởi vì trên thực tế nó cũng ảnh hưởng đến nhiều ứng dụng khác phụ thuộc vào thư viện libwebp để xử lý hình ảnh WebP. Điều này chỉ ra rằng lỗ hổng có ảnh hưởng rất rộng.
Công ty Rezillion đã đưa ra một danh sách dài các ứng dụng, thư viện mã nguồn, framework và hệ điều hành phổ biến có nguy cơ bị ảnh hưởng bởi CVE-2023-4863.
"Các package của thư viện libwebp có hiệu suất nổi bật, vượt trội so với JPEG và PNG về kích thước và tốc độ". "Do đó, nhiều phần mềm, ứng dụng và gói phần mềm đã sử dụng thư viện này, thậm chí đã sử dụng các gói phần mềm có libwebp là dependency".
"Sự phổ biến của libwebp mở ra nhiều vấn đề về việc tấn công, đặt ra những lo ngại nghiêm trọng cho cả người dùng và tổ chức".
Google đã đưa ra thông báo về lỗ hổng trên sau khi mở rộng bản vá cho CVE-2023-4863 trong ChromeOS và ChromeOS Flex với việc phát hành phiên bản 15572.50.0 (phiên bản trình duyệt 117.0.5938.115).
Thông báo cũng đến sau khi Google Project Zero công bố các thông tin liên quan đến việc khai thác CVE-2023-0266 và CVE-2023-26083 trong tháng 12 năm 2022 bởi các nhà cung cấp phần mềm gián điệp thương mại để tấn công các thiết bị Android từ Samsung tại Các Tiểu vương quốc Arab Thống nhất và đạt được quyền đọc/ghi tùy ý vào kernel.
Lỗ hổng này có thể đã được sử dụng cùng với ba lỗ hổng khác - CVE-2022-4262, CVE-2022-3038, CVE-2022-22706 - bởi một khách hàng hoặc đối tác của một công ty phần mềm gián điệp Tây Ban Nha được biết đến với tên Variston IT.
Nhà nghiên cứu an ninh Seth Jenkins cho biết "Kẻ tấn công đã tạo ra một chuỗi khai thác sử dụng nhiều lỗ hổng từ các trình điều khiển GPU kernel". "Những trình điều khiển GPU Android của bên thứ ba này có chất lượng mã nguồn và độ thường xuyên cập nhật khác nhau và điều này tạo ra cho hacker cơ hội tấn công đáng kể”.
Theo The Hacker News