WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Cảnh báo: Lỗ hổng 10 điểm trong thư viện libwebp, ảnh hưởng đến hàng triệu ứng dụng
Một lỗ hổng cực kỳ nghiêm trọng vừa được các nhà nghiên cứu của Google công bố nằm trong thư viện hình ảnh libwebp, được xem là phổ biến nhất hiện nay. Lỗ hổng có mã định danh CVE-2023-5129 với điểm nghiêm trọng là 10/10.
Libwebp là thư viện ảnh do Google phát triển và ảnh được kết xuất dưới định dạng WebP. Định dạng này có khả năng nén ảnh cao dưới hai hình thức nén không mất dữ liệu (lossless) và nén mất dữ liệu (lossy) nhằm tạo ra những bức ảnh có dung lượng nhỏ nhưng vẫn đảm bảo chất lượng hiển thị khiến quá trình tải web nhanh hơn (tối ưu về dung lượng hơn so với định dạng PNG hoặc JPEC).
WebP hiện đang được hỗ trợ trên nhiều trình duyệt phổ biến như Chrome, Edge, Safari, Firefox...
Ban đầu lỗ hổng này có mã định danh là CVE-2023-4863 (công bố ngày 11/09, điểm CVSS 8,8) một lỗi tràn bộ đệm chỉ nằm trong Chrome và đang bị khai thác trên thực tế. Tuy nhiên, vấn đề này đã bị đánh giá sai mức độ và phạm vi ảnh hưởng dẫn đến việc xác định một CVE mới nguy hiểm hơn rất nhiều.
Tiếp đó, các chuyên gia lại phát hiện ra điểm tương đồng của CVE-2023-5129 với lỗ hổng CVE-2023-41064 đã được công bố khi cùng tồn tại trong thư viện libwebp. CVE-2023-41064 là một phần trong chiến dịch khai thác zero-click iMessage có tên BLASTPASS được sử dụng để triển khai phần mềm gián điệp Pegasus của NSO Group trên các thiết bị di động của Apple.
Từ đó, các chuyên gia nhận định 3 lỗ hổng kể trên là một nhưng mức độ ảnh hưởng của CVE-2023-5129 rộng hơn.
CVE-2023-5129 nguy hiểm đến mức nào?
CVE-2023-5129 được xác định nằm trong tệp WebP lossless, xảy ra do xử lý hình ảnh không đúng cách gây ra lỗi tràn bộ đệm heap, từ đó cho phép tin tặc toàn quyền kiểm soát hệ thống, thực thi mã từ xa tùy ý và truy cập vào dữ liệu người dùng nhạy cảm. Đặc biệt, lỗ hổng đang bị tin tặc khai thác rất tích cực.
Phạm vi ảnh hưởng của lỗ hổng rộng đến mức bất kỳ phần mềm nào sử dụng định dạng WebP đều tồn tại lỗ hổng, trong đó có các trình duyệt chính như Chrome, Firefox, Safari và Edge, các hệ điều hành như Debian, Ubuntu, Alpine, RedHat... và một loạt các ứng dụng như hình ảnh bên dưới.
Danh sách lượng tải sử dụng thư viện ảnh định dạng WebP
Khuyến cáo của chuyên gia WhiteHat
Các chuyên gia của WhiteHat đánh giá đây là lỗ hổng cực kỳ nghiêm trọng, ảnh hưởng đến hàng triệu ứng dụng và khó có thể kiểm tra hay cập nhật bản vá trong thời gian ngắn do lượng sử dụng quá lớn. Mức độ ảnh hưởng có thể tương tự như lỗ hổng Log4Shell trong thư viện ghi nhật ký log4j của Apache xảy ra năm 2021 – được đánh giá nguy hiểm nhất thập kỷ khiến giới công nghệ phải chao đảo một thời.
Do đó:
Libwebp là thư viện ảnh do Google phát triển và ảnh được kết xuất dưới định dạng WebP. Định dạng này có khả năng nén ảnh cao dưới hai hình thức nén không mất dữ liệu (lossless) và nén mất dữ liệu (lossy) nhằm tạo ra những bức ảnh có dung lượng nhỏ nhưng vẫn đảm bảo chất lượng hiển thị khiến quá trình tải web nhanh hơn (tối ưu về dung lượng hơn so với định dạng PNG hoặc JPEC).
WebP hiện đang được hỗ trợ trên nhiều trình duyệt phổ biến như Chrome, Edge, Safari, Firefox...
Ban đầu lỗ hổng này có mã định danh là CVE-2023-4863 (công bố ngày 11/09, điểm CVSS 8,8) một lỗi tràn bộ đệm chỉ nằm trong Chrome và đang bị khai thác trên thực tế. Tuy nhiên, vấn đề này đã bị đánh giá sai mức độ và phạm vi ảnh hưởng dẫn đến việc xác định một CVE mới nguy hiểm hơn rất nhiều.
Tiếp đó, các chuyên gia lại phát hiện ra điểm tương đồng của CVE-2023-5129 với lỗ hổng CVE-2023-41064 đã được công bố khi cùng tồn tại trong thư viện libwebp. CVE-2023-41064 là một phần trong chiến dịch khai thác zero-click iMessage có tên BLASTPASS được sử dụng để triển khai phần mềm gián điệp Pegasus của NSO Group trên các thiết bị di động của Apple.
Từ đó, các chuyên gia nhận định 3 lỗ hổng kể trên là một nhưng mức độ ảnh hưởng của CVE-2023-5129 rộng hơn.
CVE-2023-5129 nguy hiểm đến mức nào?
CVE-2023-5129 được xác định nằm trong tệp WebP lossless, xảy ra do xử lý hình ảnh không đúng cách gây ra lỗi tràn bộ đệm heap, từ đó cho phép tin tặc toàn quyền kiểm soát hệ thống, thực thi mã từ xa tùy ý và truy cập vào dữ liệu người dùng nhạy cảm. Đặc biệt, lỗ hổng đang bị tin tặc khai thác rất tích cực.
Phạm vi ảnh hưởng của lỗ hổng rộng đến mức bất kỳ phần mềm nào sử dụng định dạng WebP đều tồn tại lỗ hổng, trong đó có các trình duyệt chính như Chrome, Firefox, Safari và Edge, các hệ điều hành như Debian, Ubuntu, Alpine, RedHat... và một loạt các ứng dụng như hình ảnh bên dưới.
Danh sách lượng tải sử dụng thư viện ảnh định dạng WebP
Khuyến cáo của chuyên gia WhiteHat
Các chuyên gia của WhiteHat đánh giá đây là lỗ hổng cực kỳ nghiêm trọng, ảnh hưởng đến hàng triệu ứng dụng và khó có thể kiểm tra hay cập nhật bản vá trong thời gian ngắn do lượng sử dụng quá lớn. Mức độ ảnh hưởng có thể tương tự như lỗ hổng Log4Shell trong thư viện ghi nhật ký log4j của Apache xảy ra năm 2021 – được đánh giá nguy hiểm nhất thập kỷ khiến giới công nghệ phải chao đảo một thời.
Do đó:
- Người dùng cần cập nhật bản vá của phần mềm, ứng dụng đang dùng ngay khi có thể.
- Các lập trình viên cần khẩn trương rà soát, cập nhật phiên bản mới của thư viện libwebp chỉ từ các nguồn chính thống của Google.
- Các cơ quan tổ chức cần tăng cường giám sát an ninh để giảm thiểu rủi ro bị tấn công từ lỗ hổng này.
WhiteHat