Googleが明らかにしたのは、 悪用された Chrome ゼロデイ、 当初はChrome内にあると考えられていましたが、実際には libwebp ライブラリに存在します (CVE-2023-5129)。 この啓示はその後に起こります CVE 番号付与局が ID を拒否または撤回した場合、 CVE-2023-4863 の重複とみなされます。

後者のエントリはその後、次のように改訂されました libwebp ライブラリへの影響が含まれます。

CVE-2023-5129
ハフマン符号化方式の不適切な適用がこの問題の根本原因です (画像クレジット)

CVE-2023-5129 について

この脆弱性の中心には、 ハフマン符号化アルゴリズムの欠陥のある実装。 この見落としにより、次のことが可能になる可能性があります。 悪意のある攻撃者がヒープ バッファ オーバーフローを引き起こし、任意のコードを実行します。 特に、CVE-2023-5129 は、0.5.0 から 1.3.1 までの libwebp バージョンに影響を与えます。 ただし、Google はバージョン 1.3.2 でこの問題に迅速に対処しました。 その深刻さは次のようなものによって強調されます。 完璧な CVSS スコアは 10.0 であり、その重要な性質を示しています。

You Might Also Like
第4章続編「ハイテーブルの下で」:スリリングな新章
第4章続編「ハイテーブルの下で」:スリリングな新章
OpenaiのChatGpt-5が追加されます "わからない" 応答
OpenaiのChatGpt-5が追加されます "わからない" 応答
最高の ChatGPT 剽窃チェッカー: AI 検出器の説明
最高の ChatGPT 剽窃チェッカー: AI 検出器の説明

どういうつながりがあるのでしょうか?

Rezilion の研究者は以前、CVE-2023-41064 ではないかと推測していました。 バッファオーバーフローの脆弱性Apple の ImageI/O フレームワーク内で、 および CVE-2023-4863、 前述の Chrome ゼロデイ、 本質的には 同じ欠陥の現れ。 結局のところ、彼らの仮説は正しかったのですが、 CVE-2023-5129 の出現につながりました。

CVE-2023-5129
CVE-2023-5129 の重大な性質は、完璧な CVSS スコア 10.0 によって示され、その深刻さが強調されています (画像クレジット)

広範囲にわたる影響

この啓示の重要性は広範囲に及ぶ幅広いアプリケーションとプラットフォーム。 libwebp ライブラリは以下に不可欠です。

  • 集合的に何十億回もダウンロードおよびデプロイされた人気のあるコンテナ イメージ (drupal、ngnix、perl、python、ruby、rust、wordpress など)。
  • libwebp に依存するさまざまなユーティリティ。
  • Chrome、Firefox、Microsoft Edge、Opera などの主要な Web ブラウザー。
  • Debian、Ubuntu、Alpine、Gentoo、SUSE などを含む多数の Linux ディストリビューション。
  • Electron フレームワークは、多数のクロスプラットフォーム デスクトップ アプリケーションの基盤として機能します。
  • Microsoft Teams や Slack から Discord、LibreOffice、1Password、Telegram、Signal Desktop などに至るまで、その他の多数のアプリケーション。

その間 一部にはすでにパッチが統合されています 脆弱性に対処するために、 他の企業もまだ追随していません。 消費者は長年のアドバイスに従うことが不可欠です。 オペレーティング システムとソフトウェアを定期的に更新してください。

企業に力を与える

脆弱性スキャナーを利用している企業にとって、この開発は次のことを意味します。 大幅な前進。 今ならできる 自動的にシステム全体の脆弱性を検出して修復します。

行動を起こします

専門家は強調する 迅速な行動の緊急性。 依存している企業 脆弱性スキャナー 今は持っています これは、CVE-2023-5129 脅威を迅速に検出して軽減する上で重要な利点です。 トム・セラーズが提供するのは、 macOS ユーザーがパッチ適用された Electron バージョンを識別するための実用的なコマンド、 潜在的なリスクに対してアプリケーションを強化します。

  Windows 10通知センターを無効にする方法は?

トム・セラーズ 主任研究員 runZero で共有しました macOS ユーザー向けのシェル コマンド どのアプリケーションがベースになっているかを識別するため 特定の Electron バージョン。 バージョン 22.3.24 24.8.3 25.8.1 26.2.1 および 27.0.0-beta.2 必要なパッチを受け取っている、 ユーザーに追加のセキュリティ層を提供します。

CVE-2023-5129
批評家らは、Googleの見落としによりエクスプロイトのパッチ適用が遅れ、WebP画像ビュー経由で悪意のあるコードが実行される可能性があると警告している(画像クレジット)

結論として、libwebp での CVE-2023-5129 の特定により、以下のことが明らかになります。 脆弱性の相互関連性 広く使用されているアプリケーションやライブラリ内で。 定期的なアップデートや脆弱性スキャンなどの事前対策が重要です。 システムとデータを潜在的な脅威から保護します。

CVE-2023-5129
月曜日、Google は CVE-2023-5129 を提出し、この脆弱性の原因を正確に libwebp に特定し、その重大度を 8.8 から重大な 10 に引き上げました (画像クレジット)

一方、この開発のニュースは、Google の 25 歳の誕生日の直後に伝えられた。 見逃した場合は、Google の 25 歳の誕生日サプライズ スピナーが四半世紀のお祝いをどのようにマークしたかについての記事を必ずチェックしてください。

注目の画像クレジット: ピクサベイ

Source: Google、libwebp での Chrome ゼロデイ悪用を確認 (CVE-2023-5129)