CVE-2023-4863
Google Chromium WebP
2023-09-13
Google Chromium WebP contains a heap-based buffer overflow vulnerability that allows a remote attacker to perform an out-of-bounds memory write via a crafted HTML page. This vulnerability can affect applications that use the WebP Codec.
Технический анализ и план устранения
Суть уязвимости
CVE-2023-4863 представляет собой критическую уязвимость типа переполнения буфера в куче (Heap Buffer Overflow) в библиотеке libwebp. Проблема возникает при обработке изображений в формате WebP с использованием кодирования Хаффмана.
Дистанционный злоумышленник может создать вредоносный файл WebP, который при открытии в браузере или приложении, использующем уязвимую версию библиотеки, вызывает запись данных за пределы выделенного буфера памяти. Это может привести к аварийному завершению работы приложения (DoS) или к выполнению произвольного кода (RCE) в контексте текущего пользователя. Уязвимость активно эксплуатировалась "в дикой природе" (0-day).
Как исправить
Основным способом устранения является обновление браузеров и системных библиотек до версий, содержащих исправление (libwebp 1.3.2 и выше).
Для пользователей Google Chrome: Обновите браузер до версии 116.0.5845.187 (для Mac и Linux) или 116.0.5845.187/.188 (для Windows) и выше.
google-chrome --version
Для пользователей систем на базе Debian/Ubuntu: Обновите пакеты libwebp.
sudo apt update && sudo apt install --only-upgrade libwebp7 libwebp-dev
Для пользователей систем на базе RHEL/CentOS/Fedora:
sudo dnf update libwebp
Для разработчиков (Node.js/Python/Go): Проверьте зависимости вашего проекта на наличие уязвимых версий библиотек обработки изображений (например, Sharp, Pillow) и обновите их.
npm update sharp
pip install --upgrade Pillow
Временные меры
Если немедленное обновление невозможно, примените следующие защитные механизмы:
Изоляция процессов: Включите строгую изоляцию сайтов в Chrome (Site Isolation), чтобы ограничить потенциальное выполнение кода рамками одной вкладки.
Ограничение обработки контента:
На уровне сетевого шлюза (WAF/Proxy) временно заблокируйте передачу файлов с MIME-типом image/webp из недоверенных источников.
Использование политик безопасности контента (CSP): Настройте заголовки CSP на веб-ресурсах, чтобы запретить загрузку изображений со сторонних доменов.
Content-Security-Policy: default-src 'self'; img-src 'self';
Отключение рендеринга WebP (крайняя мера): В некоторых приложениях можно временно отключить поддержку формата WebP через конфигурационные файлы или флаги запуска, чтобы исключить обращение к уязвимой библиотеке.