Google ha presentado discretamente una divulgación de una vulnerabilidad crítica de ejecución de código que afecta a miles de aplicaciones individuales y frameworks de software, después de que su divulgación anterior dejara a los lectores con la impresión equivocada de que la amenaza solo afectaba al navegador Chrome.
La vulnerabilidad tiene su origen en la biblioteca de código libwebp, que Google creó en 2010 para la renderización de imágenes en formato webp, un formato novedoso en ese momento que resultaba en archivos hasta un 26 por ciento más pequeños en comparación con las imágenes PNG.
Libwebp se encuentra incorporado en casi todas las aplicaciones, sistemas operativos u otras bibliotecas de código que renderizan imágenes webp, especialmente en el framework Electron utilizado en Chrome y muchas otras aplicaciones que se ejecutan en dispositivos de escritorio y móviles.
Hace dos semanas, Google emitió un aviso de seguridad en el que afirmaba que había un desbordamiento de búfer de montón en WebP en Chrome. La descripción formal de Google, rastreada como CVE-2023-4863, identificaba al proveedor afectado como “Google” y al software afectado como “Chrome”, a pesar de que cualquier código que utilizara libwebp era vulnerable. Los críticos advirtieron que la omisión de Google al mencionar que miles de otros fragmentos de código también eran vulnerables provocaría retrasos innecesarios en la corrección de la vulnerabilidad, la cual permite a los atacantes ejecutar código malicioso cuando los usuarios simplemente ven una imagen webp preparada para atraparlos.
El lunes, Google presentó una nueva divulgación que se rastrea como CVE-2023-5129. La nueva entrada enumera correctamente a libwebp como el proveedor y software afectado. Además, eleva la calificación de gravedad de la vulnerabilidad, de 8.8 a 10 sobre un posible 10. Publicidad
La falta de exhaustividad en el primer CVE asignado por Google va mucho más allá de ser un simple descuido académico. Más de dos semanas después de haberse descubierto la vulnerabilidad, existe una gran cantidad de software sin parchear. El ejemplo más evidente es Microsoft Teams.
La descripción de la vulnerabilidad en la nueva divulgación de Google ofrece considerablemente más detalles. La descripción en la divulgación anterior era:
Desbordamiento de búfer de montón en WebP en Google Chrome antes de la versión 116.0.5845.187 que permitía a un atacante remoto realizar una escritura de memoria fuera de límites a través de una página HTML diseñada. (Gravedad de seguridad de Chromium: Crítico)
La nueva descripción es:
Con un archivo WebP lossless especialmente diseñado, libwebp puede escribir datos fuera de los límites en el montón. La función ReadHuffmanCodes() asigna el búfer HuffmanCode con un tamaño que proviene de una matriz de tamaños precalculados: kTableSize. El valor color_cache_bits define qué tamaño utilizar. La matriz kTableSize solo tiene en cuenta los tamaños para búsquedas de tabla de primer nivel de 8 bits, pero no para búsquedas de tabla de segundo nivel. libwebp permite códigos de hasta 15 bits (MAX_ALLOWED_CODE_LENGTH). Cuando BuildHuffmanTable() intenta llenar las tablas de segundo nivel, puede escribir datos fuera de los límites. La escritura fuera de límites en la matriz insuficientemente dimensionada ocurre en ReplicateValue.
Tanto si se rastrea como CVE-2023-4863 o CVE-2023-5129, la vulnerabilidad en libwebp es seria. Antes de utilizar aplicaciones, los usuarios deben asegurarse de que las versiones de Electron que utilicen sean v22.3.24, v24.8.3 o v25.8.1.
