CVE-2023-4863: вичерпний посібник
CVE-2023-4863 — це серйозна вразливість, виявлена у 2023 році, яка потрапила в заголовки новин і викликала занепокоєння в усій технологічній спільноті.
Що таке CVE-2023-4863?
CVE-2023-4863 — це критична вразливість переповнення буфера динамічної пам’яті (heap buffer overflow), виявлена в пакеті libwebp, який широко використовується для кодування та декодування зображень WebP. Ця вразливість дає програмі змогу записувати дані за межі виділеної області буфера в динамічній пам’яті, що потенційно призводить до несанкціонованого доступу до системи чи контролю над нею. Проблема криється в коді, який створює таблиці пошуку для дерев Huffman у файлах WebP, де зловмисно сформований файл може спричинити запис даних за межами виділеного для буфера простору. Ця вада відкриває шлях до потенційних атак на відмову в обслуговуванні (DoS) або віддалене виконання коду (RCE)
Кого стосується CVE-2023-4863?
Вплив CVE-2023-4863 є значним і зачіпає широкий спектр програмного забезпечення та застосунків, які залежать від пакета libwebp. Це стосується не лише застосунків на базі Chromium, а й багатьох інших систем, які використовують libwebp для функцій кодека WebP. Широке впровадження цього ефективного пакета означає, що під загрозою перебуває велика кількість систем — від окремих користувачів до великих організацій.
Кроки для зменшення ризиків CVE-2023-4863
Щоб захиститися від загроз, які створює CVE-2023-4863, вкрай важливо оновити все відповідне програмне забезпечення. Ключові оновлення включають:
- Google Chrome: версії 116.0.5845.187/.188 для Mac, Linux і Windows.
- Mozilla Firefox: версії 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 і Thunderbird 115.2.2.
- Microsoft Edge: остання версія на базі Chromium.
- Brave Browser: версія 1.57.64 (Chromium: 116.0.5845.188).
Окрім цих оновлень браузерів, організаціям варто використовувати перелік компонентів програмного забезпечення (SBOM), щоб виявити та оновити всі екземпляри вразливого пакета libwebp у своїх системах.
Як експлуатують CVE-2023-4863
Ця вада — це переповнення буфера динамічної пам’яті в декодері формату без втрат (VP8L) бібліотеки libwebp, а саме в коді, який будує таблиці Huffman під час розбору зображення. Спеціально сформований файл WebP може змусити декодер виділити буфер недостатнього розміру та здійснити запис за його межами, пошкоджуючи суміжну ділянку динамічної пам’яті у спосіб, який зловмисник може перетворити на виконання коду. Оскільки декодер запускається автоматично щоразу, коли відображається зображення, достатньо просто показати шкідливе зображення — у вкладці браузера, у повідомленні чату чи в попередньому перегляді електронного листа, — щоб спрацювала ця вада, і це робить її реалістичним вектором атаки без жодного кліку (zero-click). Цю вразливість експлуатували в реальних умовах ще до випуску патчів: вона пов’язана з ланцюгом експлойтів BLASTPASS для iMessage, про який повідомили Citizen Lab та Apple у вересні 2023 року, а CISA додала її до каталогу відомих експлуатованих вразливостей (Known Exploited Vulnerabilities) з обов’язковим кінцевим терміном усунення для федеральних агентств США.
Чому масштаб виходить далеко за межі Chrome
CVE-2023-4863 спершу опублікували як вразливість Google Chrome, однак дефект міститься в самій бібліотеці libwebp — еталонній бібліотеці WebP, яка постачається всередині тисяч інших продуктів. Під загрозою опиняється все, що декодує WebP за допомогою вразливої копії: Firefox і Thunderbird, Microsoft Edge, десктопні застосунки на базі Electron, Signal, 1Password, компоненти Android і незліченні серверні конвеєри обробки зображень. Через цю плутанину бібліотеці навіть на короткий час присвоїли другий ідентифікатор — CVE-2023-5129 — з максимальною оцінкою CVSS 10.0, перш ніж його знову об’єднали з CVE-2023-4863. Практичний урок для захисників: оновлення браузера недостатньо — потрібно знайти й оновити кожну вбудовану копію libwebp у вашому інвентарі програмного забезпечення.
Висновок
CVE-2023-4863 слугує критичним нагадуванням про важливість пильності в кібербезпеці. Регулярні оновлення систем, дотримання рекомендацій з безпеки та спільні дії всієї технологічної спільноти вкрай важливі для усунення таких вразливостей. Залишаючись поінформованими та проактивними, ми можемо спільно зміцнити наш захист від цих кіберзагроз, що постійно еволюціонують.
