CVE-2023-4863: Wie tief geht das Kaninchenloch?
Sicherheitsanfälligkeit: Heap-Pufferüberlauf in libwebp
CVE-ID: CVE-2023-4863
CVSS-Score: 8.8 (Obwohl ein anderes CVE, das mit diesem zusammengelegt wurde, mit 10.0 bewertet wurde. Die Bewertung 8.8 wird angesichts des Umfangs und des Risikos wahrscheinlich aktualisiert werden)
Den Status des Extended LifeCycle Supports von TuxCare finden Sie im TuxCare's CVE-Tracker hier.
Die Ursache
Die Schwachstelle ergibt sich aus der Art und Weise, wie libwebp durch Huffman-Kodierungstabellen navigiert. Huffman-Kodierungstabellen sind das "Wörterbuch", das einem Programm mitteilt, wie das Bild in der Datei gespeichert ist. Das Konzept einer Huffman-Tabelle wird bei der Kodierung verschiedener Datentypen verwendet, nicht nur bei Bildern und nicht nur beim Webp-Format. Es ist eine Möglichkeit, Elemente der Bilddaten, die sehr häufig vorkommen, mit weniger Bits zu speichern und Elemente, die weniger häufig vorkommen, mit längeren Bitfolgen zu versehen. Dies führt zu einer insgesamt geringeren Dateigröße. Diese Informationen werden in jeder webp-Datei gespeichert.
Ein speziell präpariertes Bild kann ein Out-of-Bounds-Pufferschreiben mit vom Angreifer kontrolliertem Inhalt auslösen. Dies ist ein Null-Klick-Angriff, der es einem Angreifer ermöglicht, das System ohne Interaktion des Benutzers zu übernehmen. Ursprünglich als Google Chrome-Dilemma angesehen, hat die Enthüllung, dass der Fehler in libwebp existiert, enthüllt, dass die Schwachstelle potenziell jede Anwendung betreffen kann, die in der Lage ist, webp-Bilder zu laden, sofern sie libwebp intern nutzt. Dazu gehören unter anderem Firefox, Thunderbird, FFMpeg, soziale Messenger-Plattformen, IOS- und Android-Geräte.
Relevanz
Die CISA stellt fest, dass diese Sicherheitslücke derzeit in freier Wildbahn ausgenutzt wird. Dies bedeutet, dass es eindeutige Beweise für Cybersicherheitsvorfälle gibt, die direkt mit der Ausnutzung einer solchen Schwachstelle zusammenhängen. Angesichts der Bekanntheit der Schwachstelle, der enormen Menge an betroffener Software von Drittanbietern und der Tatsache, dass bereits viele Forschungsergebnisse veröffentlicht wurden, ist der Exploit-Code für interessierte Parteien leicht zugänglich.
Die jüngsten Ereignisse im Zusammenhang mit der Spyware Pegasus haben gezeigt, dass diese Schwachstelle keine rein hypothetische Bedrohung ist, sondern ein konkretes Risiko für die globale Cybersicherheit darstellt.
Analyse der weitreichenden Auswirkungen von CVE-2023-4863
Die Entdeckung einer neuen Sicherheitslücke gleicht einem spannenden und zugleich gefährlichen Abenteuer ins Ungewisse. CVE-2023-4863 ist da keine Ausnahme. Die Sicherheitslücke, die sich um die Art und Weise dreht, wie libwebp mit Huffman-Kodierungstabellen umgeht, hat eine Kaskade potenzieller Sicherheitslücken in zahlreichen Anwendungen und Plattformen ausgelöst. Das Problem ist nicht auf eine einzelne Anwendung oder ein einzelnes Betriebssystem beschränkt, was es zu einer gewaltigen Bedrohung im riesigen digitalen Ozean macht.
Diese Sicherheitslücke wurde inmitten einer weltweiten Cyber-Sicherheitskrise entdeckt, die mit der berüchtigten Spionagesoftware Pegasus zusammenhing. Am 12. September 2023 wurden dringende Patches für zwei Apple-Probleme und ein Chrome-Update veröffentlicht, um aktiv ausgenutzte Sicherheitslücken zu schließen. CitizenLab entdeckte bei der Untersuchung eines Geräts einer in Washington DC ansässigen Organisation zwei Sicherheitslücken (darunter CVE-2023-4863 und eine IOS-spezifische CVE-2023-41064) wurden entdeckt, die auf einem Heap-Pufferüberlauf in libwebp basieren.
Es wurde festgestellt, dass das Problem in der Unterstützung der "verlustfreien Komprimierung" für WebP, besser bekannt als VP8L, liegt. Es war auch sehr schwierig zu verstehen, wie man diese Schwachstelle ausnutzen kann. Die sehr große Anzahl möglicher Inhaltskombinationen in einem Bild und die sehr kleine und spezifische Teilmenge dieser Bilder, die dieses Verhalten auslösen könnten, waren sehr schwer zu identifizieren - tatsächlich ist es fast unmöglich zu garantieren, dass keine anderen derartigen Randfälle existieren. Dies lässt vermuten, ist aber nicht bestätigt, dass ein erheblicher Aufwand betrieben wurde, um eine solche Schwachstelle zu finden, und nicht nur ein gewöhnlicher Sicherheitsforscher, der sie zufällig entdeckt.
Für diese Art von Schwachstellen gibt es beträchtliche finanzielle Belohnungen. Vor kurzem wurden beispielsweise 20 Millionen Dollar für voll funktionsfähige Zero-Click-Exploits für iOS geboten. Dies scheint den Aufwand zu rechtfertigen, der für die Suche nach solchen Problemen betrieben wird.
Die Kritikalität von CVE-2023-4863 kann nicht hoch genug eingeschätzt werden. Google und Apple haben Updates zur Behebung dieser Schwachstelle herausgebracht, aber libwebp wird in vielen anderen Anwendungen verwendet. Insbesondere das Android-Update kann aufgrund der Patch-Lücke im Android-Ökosystem viel Zeit in Anspruch nehmen, um alle Marken und Modelle zu durchdringen.
Die von der NSO-Gruppe vertriebene Spyware Pegasus ist für ihre heimtückische und weit verbreitete Natur bekannt. Sie hat bei zahlreichen Überwachungskampagnen eine wichtige Rolle gespielt. Die Spyware, die E-Mails, Textnachrichten, Fotos, Videos, Standorte, Passwörter und Aktivitäten in sozialen Medien ohne Zustimmung oder Sichtbarkeit stiehlt, gibt es schon seit Jahren, und ihre Existenz sollte nicht übersehen werden. Sie nutzt hochentwickelte Schwachstellen wie diese, um sich auf den Geräten und Systemen ahnungsloser Zielpersonen einzunisten. Die Tatsache, dass libwebp nicht auf mobile Geräte beschränkt ist, vergrößert die Angriffsfläche nur noch weiter.
Der bloße Besuch einer Website, die ein bösartiges Bild enthält, der Empfang eines Bildes über Instant Messaging oder das Öffnen eines solchen Inhalts in einem Bildbetrachtungsprogramm, in dem das Problem nicht behoben wurde, reicht aus, damit ein Angreifer seine Nutzlast bereitstellen kann. Sie wird unweigerlich für andere Arten von Malware verwendet.
Eine ausführliche Diskussion über diese spezielle Sicherheitslücke und einige ihrer Auswirkungen finden Sie in dieser Enterprise Linux Security-Podcast-Folge.
Empfehlung
In Anbetracht des Risikos, der Häufigkeit und der Leichtigkeit des Angriffs empfiehlt TuxCare dringend, Patches für alle Systeme sofort anzuwenden, sobald sie verfügbar sind.
Sie können die Verfügbarkeit von Patches für Systeme, die unter TuxCare Extended Lifecycle Support Service abgedeckt sind, können Sie hier verfolgen.
Auch bei anderen Betriebssystemen und Geräten sollten Patches zum frühestmöglichen Zeitpunkt aufgespielt werden.