Описание уязвимости:

CVE-2023-4863 — это критическая уязвимость переполнения буфера кучи в WebP, формате файлов растровой графики, который заменяет форматы файлов JPEG, PNG и GIF.

Переполнение буфера может вызвать сбои, бесконечные циклы и может использоваться для выполнения произвольного кода.

Влияние уязвимости:

Эту уязвимость можно использовать для удаленного выполнения кода, и она широко использовалась. Компонент обработки изображений webp поддерживается Google и имеет открытый исходный код. Он широко упоминается в сценариях обработки изображений на мобильных устройствах, ПК и серверах. Большинство браузеров (Chrome, Firefox, Breve, Tor Browser и т. д.), многие дистрибутивы Linux (Ubuntu, Debian, Gentoo, SUSE и т. д.), менеджеры паролей (1Password, BitWarden и т. д.) и другое программное обеспечение (MS Teams, Slack). , Telegram, Signal, Basecamp, Discord, GitHub Desktop и т. д.).

Затронутые версии:

libwebp <= 0,5 и < 1.3.2
хром/хром < 116.0.5845.187

Проверка уязвимости:

https://github.com/mistymntncop/CVE-2023-4863

Ссылка на уязвимость:

https://nvd.nist.gov/vuln/detail/CVE-2023-4863
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html?m=1