Google WebP图像编解码库漏洞分析(CVE-2023-4863)

admin 2023年10月17日20:49:25评论92 views字数 3632阅读12分6秒阅读模式

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)












01

背 景


02

漏洞分析


Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)
Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)
Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)
Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)
Google WebP图像编解码库漏洞分析(CVE-2023-4863)

第5个哈夫曼编码的key值如下:

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

03

漏洞补丁


Google WebP图像编解码库漏洞分析(CVE-2023-4863)

当创建完哈夫曼表后,如果是无效的哈夫曼树,返回的大小为0,后续直接抛出错误。

Google WebP图像编解码库漏洞分析(CVE-2023-4863)
Google WebP图像编解码库漏洞分析(CVE-2023-4863)
04

漏洞复现


Google WebP图像编解码库漏洞分析(CVE-2023-4863)


参考链接:


[1]https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zero-click-zero-day-exploit-captured-in-the-wild/?ref=blog.isosceles.com

[2]https://support.apple.com/en-us/HT213905

[3]https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html

[4]https://en.wikipedia.org/wiki/Huffman_coding

[5]https://developers.google.com/speed/webp/docs/riff_container

[6]https://github.com/madler/zlib/blob/v1.2.5/examples/enough.c

[7]https://chromium.googlesource.com/webm/libwebp/+/902bc9190331343b2017211debcec8d2ab87e17a%5E%21/






启明星辰积极防御实验室(ADLab)





ADLab成立于1999年,是中国安全行业最早成立的攻防技术研究实验室之一,微软MAPP计划核心成员,“黑雀攻击”概念首推者。截止目前,ADLab已通过CVE累计发布安全漏洞1100余个,通过 CNVD/CNNVD/NVDB累计发布安全漏洞3000余个,持续保持国际网络安全领域一流水准。实验室研究方向涵盖基础安全研究、移动与物联网安全研究、工控安全研究、信创安全研究、云安全研究、无线安全研究、高级威胁研究、攻防体系建设。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等





Google WebP图像编解码库漏洞分析(CVE-2023-4863)

原文始发于微信公众号(ADLab):Google WebP图像编解码库漏洞分析(CVE-2023-4863)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年10月17日20:49:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Google WebP图像编解码库漏洞分析(CVE-2023-4863)https://cn-sec.com/archives/2122021.html

发表评论

匿名网友 填写信息