Google กำหนด CVE ID ใหม่ (CVE-2023-5129) เกี่ยวกับช่องโหว่ด้านความปลอดภัยของ libwebp
ที่ถูกโจมตีด้วย Zero-day และแพตช์เมื่อสองสัปดาห์ก่อน
นักวิจัย Citizen Lab เผย Zero-day เป็นสปายแวร์แบบกำหนดเป้าหมาย มักเชื่อมโยงกับผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐ โดยมุ่งเป้าไปที่บุคคลที่มีความเสี่ยงสูงเป็นหลัก เช่น นักข่าวและนักการเมืองฝ่ายค้าน
CVE-2023-5129 ซึ่งระบุว่าเป็นปัญหาร้ายแรงใน libwebp โดยมีระดับความรุนแรงสูงสุด 10/10 การเปลี่ยนแปลงนี้มีผลกระทบอย่างมีนัยสำคัญต่อโปรเจ็กต์อื่นๆ ที่ใช้ไลบรารีโอเพ่นซอร์ส libwebp
ข้อบกพร่องของ libwebp เกี่ยวข้องกับ Heap buffer overflow ใน WebP
ซึ่งส่งผลกระทบต่อ Google Chrome เวอร์ชันก่อนหน้า 116.0.5845.187
ช่องโหว่นี้อยู่ภายในอัลกอริธึมการเข้ารหัส Huffman ที่ใช้โดย libwebp สำหรับการบีบอัดแบบไม่สูญเสียรายละเอียด และช่วยให้ผู้โจมตีสามารถรันการเขียนหน่วยความจำเกินขอบเขตโดยใช้หน้า HTML ที่ออกแบบมาเพื่อประสงค์ร้าย
การใช้ช่องโหว่ประเภทนี้อาจส่งผลร้ายแรง ตั้งแต่การทำให้เครื่องขัดข้อง, การเรียกใช้โค้ดโดยไม่ได้รับอนุญาต และการเข้าถึงข้อมูลที่ละเอียดอ่อน
Ref: https://www.bleepingcomputer.com/news/security/google-assigns-new-maximum-rated-cve-to-libwebp-bug-exploited-in-attacks/