ClickCease CVE-2023-4863 : Quelle est la profondeur du terrier de lapin ?

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

CVE-2023-4863 : Quelle est la profondeur du terrier de lapin ?

Joao Correia

11 octobre 2023 - Évangéliste technique

Vulnérabilité : débordement de tampon dans libwebp

CVE ID : CVE-2023-4863

Score CVSS : 8.8 (Bien qu'une autre CVE fusionnée dans celle-ci ait obtenu un score de 10.0. Le score de 8,8 sera probablement mis à jour compte tenu de la portée et du risque).

L'état du support du cycle de vie étendu de TuxCare peut être trouvé dans le site web de TuxCare. CVE de TuxCare ici.

 

La cause

 

La vulnérabilité provient de la façon dont libwebp navigue dans les tables d'encodage Huffman. Les tables d'encodage de Huffman sont le "dictionnaire" qui indique à un programme comment l'image est stockée dans le fichier. Le concept de table de Huffman est utilisé dans l'encodage de différents types de données, pas seulement les images et pas seulement le format webp. Il s'agit d'un moyen de faire en sorte que les éléments des données de l'image utilisent moins de bits lorsqu'ils sont stockés s'ils sont très courants, et que les éléments qui sont moins courants utilisent des séquences de bits plus longues. Cela permet de réduire la taille globale des fichiers. Ces informations sont stockées dans chaque fichier webp.

 

Une image spécialement conçue peut provoquer l'écriture d'une mémoire tampon hors limites avec un contenu contrôlé par l'attaquant. Il s'agit d'une attaque de type "zéro clic", qui permet à un attaquant distant de prendre potentiellement le contrôle du système sans aucune interaction de la part de l'utilisateur. Initialement perçue comme un dilemme de Google Chrome, la révélation de l'existence du bogue dans libwebp a dévoilé que la vulnérabilité pouvait potentiellement affecter toute application capable de charger des images webp, à condition qu'elle utilise libwebp en interne. Cela inclut, sans s'y limiter, Firefox, Thunderbird, FFMpeg, les messageries des plateformes sociales, les appareils IOS et Android.

 

Pertinence

 

Selon la CISA, cette vulnérabilité est actuellement exploitée dans la nature. Cela signifie qu'il existe des preuves évidentes d'incidents de cybersécurité directement liés à l'exploitation de cette vulnérabilité. Compte tenu de sa notoriété, du nombre impressionnant de logiciels tiers concernés et de l'ampleur des recherches publiques, le code d'exploitation est également facilement accessible aux parties intéressées.

 

Les événements récents concernant le logiciel espion Pegasus ont montré que cette vulnérabilité n'est pas une simple menace hypothétique, mais un risque tangible affectant la cybersécurité mondiale. 

 

Analyse des implications profondes de CVE-2023-4863

 

La découverte d'une nouvelle vulnérabilité s'apparente à une aventure palpitante mais périlleuse dans l'inconnu. La CVE-2023-4863 ne fait pas exception à la règle. Cette vulnérabilité, qui concerne la manière dont libwebp gère les tables d'encodage Huffman, a entraîné une cascade de failles de sécurité potentielles dans de nombreuses applications et plates-formes. Le problème n'est pas isolé à une seule application ou à un seul système d'exploitation, ce qui en fait une menace redoutable dans le vaste océan numérique.

 

Cette vulnérabilité a été découverte au milieu d'une crise mondiale de cybersécurité impliquant le célèbre logiciel espion Pegasus. Le 12 septembre 2023, des correctifs urgents ont été publiés pour deux problèmes Apple et une mise à jour Chrome afin de remédier aux vulnérabilités activement exploitées. Découvertes par CitizenLab lors d'une enquête sur l'appareil d'une organisation basée à Washington DC, deux vulnérabilités (dont CVE-2023-4863 et une vulnérabilité spécifique à IOS CVE-2023-41064) se sont avérées être basées sur un débordement de la mémoire tampon du tas dans libwebp.

 

Il a été découvert que le problème se situait au niveau de la prise en charge de la "compression sans perte" pour WebP, plus connue sous le nom de VP8L. Il a également été très difficile de comprendre comment exploiter cette vulnérabilité. Le très grand nombre de combinaisons de contenus possibles dans une image et le sous-ensemble très restreint et spécifique de ces mêmes images qui pourrait déclencher ce comportement ont été très difficiles à identifier - en fait, il est presque impossible de garantir qu'il n'existe pas d'autres cas limites de ce type. Cela suggère, mais n'a pas été confirmé, que les efforts déployés pour trouver une telle vulnérabilité ont été considérables et qu'il ne s'agit pas d'une découverte fortuite de la part d'un chercheur en sécurité ordinaire.

 

Ce type de vulnérabilité donne lieu à des récompenses pécuniaires substantielles. Par exemple, il y a eu très récemment une offre de 20 millions de dollars pour des exploits "zero-click" entièrement fonctionnels pour iOS. Cela semble justifier les efforts déployés pour rechercher ces problèmes en premier lieu.

 

La criticité de la CVE-2023-4863 ne peut être surestimée. Google et Apple ont déployé des mises à jour pour corriger cette vulnérabilité, mais libwebp est utilisé dans de nombreuses autres applications. La mise à jour d'Android, en particulier, peut prendre beaucoup de temps pour se répandre dans toutes les marques et tous les modèles, en raison de l'écart entre les correctifs présents dans l'écosystème Android.

 

Le logiciel espion Pegasus, commercialisé par le groupe NSO, est notoirement connu pour son caractère insidieux et omniprésent. Il a joué un rôle déterminant dans de nombreuses campagnes de surveillance. Ce logiciel espion, qui vole des courriels, des SMS, des photos, des vidéos, des emplacements, des mots de passe et des activités sur les médias sociaux sans consentement ni visibilité, existe depuis des années et son existence ne doit pas être négligée. Il s'appuie sur des vulnérabilités très avancées, comme celle-ci, pour se déployer sur les équipements et les systèmes de cibles peu méfiantes. Le fait que la présence de libwebp ne se limite pas aux appareils mobiles ne fait qu'élargir la surface d'attaque. 

 

Le simple fait de visiter un site web contenant une image malveillante, de recevoir une image par messagerie instantanée ou d'ouvrir un tel contenu sur une visionneuse d'images où le problème n'a pas été résolu suffit à un pirate pour déployer sa charge utile. Elle sera inévitablement utilisée pour d'autres types de logiciels malveillants.

 

Vous pouvez consulter une discussion approfondie sur cette vulnérabilité spécifique et certains de ses impacts dans cet épisode du podcast Enterprise Linux Security. épisode du podcast Enterprise Linux Security.

 

Recommandation

 

Compte tenu du risque, de la prévalence et de la facilité d'attaque, TuxCare recommande vivement d'appliquer les correctifs pour tous les systèmes dès qu'ils sont disponibles. 

 

Vous pouvez suivre la disponibilité des correctifs pour les systèmes couverts par le service Extended Lifecycle Support de du service Extended Lifecycle Support de TuxCare ici.

 

En outre, pour les autres systèmes d'exploitation et appareils, les correctifs doivent être apportés le plus tôt possible.

Résumé
CVE-2023-4863 : Quelle est la profondeur du terrier de lapin ?
Nom de l'article
CVE-2023-4863 : Quelle est la profondeur du terrier de lapin ?
Description
En savoir plus sur CVE ID : CVE-2023-4863. La vulnérabilité provient de la façon dont libwebp navigue dans les tables d'encodage Huffman.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information