Odczytujesz złośliwy obrazek i Twój komputer jest przejęty. Gruba podatność załatana we wszystkich przeglądarkach, Thunderbirdzie, 1Password, … CVE-2023-4863

Podatność początkowo została załatana w Chrome, co gorsza z adnotacją o fakcie namierzenia aktywnej exploitacji tej luki.

Podatność CVE-2023-4863 dotyka googlowej biblioteki libwebp, umożliwiającej m.in. odczyt plików graficznych w formacie webp.

Okazuje się, że z biblioteki tej korzystają w zasadzie wszystkie główne przeglądarki: Chrome, Firefox (oraz Tor Browser), Edge, Brave czy Vivaldi. W tym miejscu możecie sprawdzić w której wersji Wasza przeglądarka została załatana.

Co gorsza podatny jest (był) też np. Thunderbird:

Dalej, podatna może być praktycznie każda aplikacja używająca libwebp – przykładem niech będzie 1Password (podatność istnieje w linii 8.x. Załatana wersja to 8.10.15 – Mac, Windows oraz Linux).

Do skutecznej eksploitacji potrzebne będzie dostarczenie w odpowiedni sposób obrazka-eksploita do ofiary. Twórcy 1Password taki scenariusz opisują tak:

An attacker who is able to show images in the WebP format to a victim using the 1Password app is able to perform a heap buffer overflow. The attacker can use this as a starting off point to achieve remote code execution or steal secrets from the other user’s device.

1Password only shows images provided by other users in the account, in the form of icons or avatars. As a result, an attacker needs to share an account with a victim to perform the attack.

Na podatny wygląda również np. LibreOffice – prace nad łatką trwają.

~ms