Vulnerabilidad en la librería libwebp para imágenes WebP
INCIBE-2023-0421
En un principio, se identificó como una vulnerabilidad reportada por Apple y Citizen Lab que afectaba a Google Chrome y se le asignó el código CVE-2023-4863.
Investigaciones posteriores revelaron que la vulnerabilidad realmente se trataba de un 0day en explotación activa y que afectaba a cualquier software que utilizase el codec de imágenes WebP mediante la librería libwebp, asignando un nuevo identificador: CVE-2023-5129.
En el artículo de Cyber Kendra se recoge un listado de productos, aplicaciones, servicios, plataformas, sistemas operativos, compañías, etc. que emplea la librería de codec WebP afectada.
Se ha identificado una vulnerabilidad crítica 0day en la librería libwebp. Mediante la creación y el envío a potenciales víctimas de imágenes WebP maliciosas, los atacantes podrían aprovechar esta vulnerabilidad para ejecutar código arbitrario y acceder a datos confidenciales del usuario.
La lista de proveedores afectados que han publicado parche para solucionar esta vulnerabilidad se puede consultar en el artículo de Cyber Kendra. Este listado se irá actualizando conforme los afectados publiquen sus soluciones.
La vulnerabilidad existe en el componente de compresión sin pérdidas de la librería de código abierto libwebp, que proporciona codificación y decodificación de imágenes en formato WebP. En concreto, se trata de un problema de desbordamiento de búfer del montículo (heap), en el algoritmo de codificación Huffman utilizado para la compresión sin pérdidas en imágenes WebP.
La explotación exitosa de esta vulnerabilidad requiere una interacción de usuario moderadamente compleja, pero permite la ejecución remota de código. Se ha asignado el identificador CVE-2023-5129 para esta vulnerabilidad.