警惕Webp 0day可跨平台发起无感攻击

今年以来我们公众号已经停止做漏洞预警，本次例外发一下。Webp是由Google公司推出的一种全新的图片文件格式，同时支持有损压缩与无损压缩。WebP的设计目标是在减少文件大小的同时，达到和JPEG、PNG、GIF格式相同的图片质量，并提高传输效率。

由于WebP 图像格式中的堆缓冲区溢出漏洞，在 Webp 的逻辑处理中没有正确实现哈夫曼表，BuildHuffmanTable 函数中存在越界写入问题，攻击者可能通过构造恶意数据执行任意代码，打开恶意 WebP 图像可能导致内容进程中的堆缓冲区溢出，该漏洞允许远程攻击者通过精心制作的HTML页面执行越界内存写入，这个漏洞已经被广泛利用。

本次漏洞(CVE-2023-41064与CVE-2023-41061）是由加拿大多伦多大学Citizen Lab团队发现，在被攻击的手机上发现并确认了针对iMessage的零点击攻击BLASTPASS，被攻击者无需任何操作，该攻击能绕过Apple的BlastDoor，对受害者手机实施无感知监视活动。该漏洞影响面可以说是巨大，并且攻击投递的方式很丰富。

大概的时间线：

9月6日，苹果公司的安全工程与架构（SEAR）团队和多伦多大学蒙克学院的Citizen Lab报告了这一漏洞。

9月7日，Apple发布了一个紧急安全补丁，修复了一个iMessage 0-Click攻击事件。

9月11日，Google发布Chrome浏览器的补丁，但更多受此漏洞组件影响的软件厂商，目前仍未发布安全修复程序。

9月12日，Mozilla发布了安全更新，修复了 Firefox 和 Thunderbird 中的漏洞（CVE-2023-4863）。

9月22日，针对该漏洞的PoC已在网络上被公开。

可攻击的平台：

iPhone、iPad、Mac、Windows、Android及其它操作系统下使用了有漏洞的webp组件的软件（如Chrome、Firefox、微信、钉钉、QQ、Edge、Brave、Signal、1Password 等）的用户都面临被攻击的风险。

详细漏洞分析：

1. https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zero-click-zero-day-exploit-captured-in-the-wild/

2. https://www.accessnow.org/publication/hacking-meduza-pegasus-spyware-used-to-target-putins-critic/

3. https://blog.isosceles.com/the-webp-0day/

安全防御建议：

1. 所有应用软件升级到最新版本，或下载安装补丁。

2. 交友聊天软件不要随便添加陌生人为好友。

3. 不要随意访问不明网页链接。
   
   

原文始发于微信公众号（山石网科安全技术研究院）：警惕Webp 0day可跨平台发起无感攻击