Описание уязвимости:
CVE-2023-4863 — это критическая уязвимость переполнения буфера кучи в WebP, формате файлов растровой графики, который заменяет форматы файлов JPEG, PNG и GIF.
Переполнение буфера может вызвать сбои, бесконечные циклы и может использоваться для выполнения произвольного кода.
Влияние уязвимости:
Эту уязвимость можно использовать для удаленного выполнения кода, и она широко использовалась. Компонент обработки изображений webp поддерживается Google и имеет открытый исходный код. Он широко упоминается в сценариях обработки изображений на мобильных устройствах, ПК и серверах. Большинство браузеров (Chrome, Firefox, Breve, Tor Browser и т. д.), многие дистрибутивы Linux (Ubuntu, Debian, Gentoo, SUSE и т. д.), менеджеры паролей (1Password, BitWarden и т. д.) и другое программное обеспечение (MS Teams, Slack). , Telegram, Signal, Basecamp, Discord, GitHub Desktop и т. д.).
Затронутые версии:
libwebp <= 0,5 и < 1.3.2
хром/хром < 116.0.5845.187
Проверка уязвимости:
https://github.com/mistymntncop/CVE-2023-4863
Ссылка на уязвимость:
https://nvd.nist.gov/vuln/detail/CVE-2023-4863
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html?m=1
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/уязвимость-библиотеки-кодеков-webp-html.