被积极利用的libwebp图像库漏洞，CVSS评级满分，影响广泛

Google 已为 libwebp 图像库中的一个关键安全漏洞分配了一个新的 CVE 标识符，该缺陷用于以WebP 格式渲染图像，该漏洞已在野外积极利用。

该漏洞的编号为CVE-2023-5129，CVSS 严重性评分为最高的10.0。

它被描述为根源于霍夫曼编码算法的问题：

使用特制的 WebP
无损文件，libwebp 可能会将数据越界写入堆。ReadHuffmanCodes() 函数分配 HuffmanCode
缓冲区，其大小来自预先计算的大小数组：kTableSize。color_cache_bits 值定义要使用的大小。kTableSize 数组仅考虑 8
位一级表查找的大小，但不考虑二级表查找的大小。libwebp 允许最多 15 位 (MAX_ALLOWED_CODE_LENGTH) 的代码。当
BuildHuffmanTable() 尝试填充二级表时，它可能会写入越界数据。对尺寸不足的数组的 OOB 写入发生在 ReplicateValue 中。

Apple、Google和Mozilla发布了修复程序（编号为 CVE-2023-41064 和 CVE-2023-4863），该漏洞可能导致在处理特制图像时执行任意代码。这两个漏洞被怀疑解决了库中相同的潜在问题。

据 Citizen Lab 称，据说 CVE-2023-41064 已与 2023-41061 链接在一起，作为名为 BLASTPASS 的零点击 iMessage漏洞利用链的一部分，用于部署名为 Pegasus（大名鼎鼎的飞马） 的间谍软件。目前尚不清楚其他技术细节。

将 CVE-2023-4863“错误地界定为 Google Chrome 中的漏洞”的决定掩盖了这样一个事实：它实际上还影响所有其他依赖 libwebp 库处理 WebP 图像的应用程序，这表明它的影响比之前想象的更广泛。

Rezillion 上周的一项分析揭示了一系列广泛使用的应用程序、代码库、框架和操作系统，这些应用程序、代码库、框架和操作系统都容易受到 CVE-2023-4863 的影响。

该公司表示：“该软件包因其效率而脱颖而出，在尺寸和速度方面优于 JPEG 和 PNG。” “因此，大量软件、应用程序和软件包都采用了这个库，甚至采用了 libwebp 为其依赖项的软件包。”

“libwebp 的广泛流行极大地扩展了攻击面，引起了用户和组织的严重担忧。”

获得CVSS最高评分的“libwebp”代码高危漏洞比预期影响更广泛

网络安全专家警告说，先前披露的影响各种网络应用程序的“libwebp”图像库漏洞的影响范围比最初宣布的更广。

该漏洞编号为CVE-2023-4863，谷歌上周披露了该漏洞对 Chrome 浏览器的影响。在研究人员深入研究并将该漏洞追溯到开源 libwebp 库之前，其他浏览器已发布有关该问题的通告。

该图像库提供了以 WebP 格式渲染图像的代码，可供多种浏览器和图像编辑器使用，包括 Chrome、Mozilla 的 Firefox 和 Microsoft Edge。

本周，谷歌为该漏洞提供了一个新的CVE编号：CVE-2023-5129，并将该漏洞标记为 CVSS 严重性评级的最高分（满分 10 分）。

Rezilion 的软件供应链安全研究人员上周表示，该漏洞的范围“比最初假设的要广泛得多，影响全球数百万个不同的应用程序”。

该公司的研究人员表示：“由于错误地将漏洞归为 Chrome 问题，漏洞扫描程序不一定能提供有关该漏洞存在的可靠指示。”

该漏洞库“在多个流行容器镜像的最新版本中被发现，这些镜像的下载和部署次数总计达数十亿次，例如 Nginx、Python、Joomla、WordPress、Node.js 等。”

据 Mozilla 称，该漏洞是由苹果安全工程与架构 (SEAR) 和多伦多大学公民实验室发现的。网络安全和基础设施安全局 (CISA)警告了该漏洞，并表示该漏洞正被未透露详情的黑客组织积极利用。

据 Rezilion 称，研究人员分别向谷歌和苹果报告了该问题，两家公司都认为该问题影响了不同的产品。但两者都使用 libwebp，Rezilion 表示主要担心的是漏洞扫描器只会标记这些特定产品的问题，从而“为盲目依赖漏洞扫描器输出的组织造成巨大的盲点”。

Rezilion 研究主管 Yotam Perkal 告诉 Recorded Future News，这可能是一个无心的错误。

“他们可能认为该漏洞仅适用于 Google Chrome。”Perkal 说。

“但是一旦犯了这样的错误，后果就会很严重，因为它会为漏洞扫描器造成盲点。”

Rezilion 补充道，“libwebp 库中的根本问题很可能与导致 CVE-2023-41064 的问题相同，攻击者将其用作 BLASTPASS 漏洞利用链的一部分，以在目标移动设备上部署 NSO Group 的 Pegasus 间谍软件。”

Critical Start 网络安全专家 Callie Guenther 表示，该漏洞由于严重性高且具有远程代码执行的可能性，因此带来重大风险。

“特别令人担忧的是该漏洞所带来的广泛攻击面。除了在 Google Chrome 中最初被识别之外，它还影响无数的 Linux 应用程序和广泛使用的容器镜像。”Guenther 说。

“CVE-2023-4863 漏洞最初的影响范围仅与 Google Chrome 和 Apple 的 ImageIO 框架相关，强调了人类专业知识和先进工具在漏洞检测中的重要性。仅仅依赖自动漏洞扫描程序并不总能产生全面的见解，而人工分析在连接点方面仍然具有难以预估的价值。”

Guenther 补充说，组织机构比以往任何时候都必须严格盘点其软件资产，以确保全面缓解此类漏洞。

网络安全公司 Centripetal 的 Colin Little 解释说，该问题是影响许多流行 Web 应用程序中高风险漏洞的最新案例。他说，追踪该漏洞的影响对安全团队来说是一个“巨大的挑战”，而且“很容易让人想起 Log4j”，Log4j漏洞促使全球多政府采取补救措施。

“这让我想知道关键互联网基础设施的核心中还存在哪些仍然未知的漏洞。”Guenther 说。“这一功能在该核心（Web 应用程序、安全和操作应用程序以及 Web 浏览应用程序）中得到了令人难以置信的广泛采用，世界各地的用户每天都将这些应用程序用于个人和专业用途。”

Guenther 认为，这些事件证明需要有一种监视工具，这种工具具有非常严重的跨应用程序依赖性，并且一个关键漏洞将产生全球影响。

两周前，白宫协调了约 90 名政府官员和私营部门高管的会议，起草了一项新的长期计划，以确保公开可用的开源代码的安全，CISA 发布了期待已久的开源软件安全路线图。

开源软件安全专家、Veracode 创始人 Chris Wysopal 表示，大量高质量的开源项目使组织能够构建更多的自定义应用程序，并且比以往任何时候都更加依赖开源软件。

79% 的开发者在将第三方库纳入代码库后从未更新过。尽管事实上 92% 的开源库缺陷可以通过更新修复，而且 69% 的修复都是次要的，即使是最复杂的软件应用程序也不会破坏功能。

Tanium 的 Melissa Bischoping 等其他几位网络安全专家表示，当在共享库中发现漏洞时，应该进行不同程度的负责任的披露和协调，因为它可能对数千个应用程序产生影响，而不仅仅是一两个应用程序。

多人表示，最近的事件凸显了软件物料清单 (SBOM)的重要性，这将帮助组织更好地了解他们使用的软件依赖哪些工具。

参考链接：

https://thehackernews.com/2023/09/new-libwebp-vulnerability-under-active.html

https://therecord.media/libwebp-vulnerability-more-widespread-than-expected