구글은 다음과 같이 밝혔습니다. 익스플로잇된 크롬 제로데이, 처음에는 Chrome 내에 있는 것으로 생각되었지만 실제로는 libwebp 라이브러리(CVE-2023-5129)에 있습니다. 이 폭로는 이후에 나온다 CVE 번호 부여 기관이 ID를 거부하거나 철회한 경우 CVE-2023-4863의 복제본으로 간주됩니다.

이후 후자의 항목은 다음과 같이 수정되었습니다. libwebp 라이브러리에 미치는 영향을 포함합니다.

CVE-2023-5129
허프만 코딩 방법을 잘못 적용한 것이 이 문제의 근본 원인입니다(이미지 제공).

CVE-2023-5129 이해

이 취약점의 핵심은 허프만 코딩 알고리즘의 구현 결함. 이러한 감독으로 인해 잠재적으로 악의적인 행위자가 힙 버퍼 오버플로를 유발하고 임의 코드를 실행합니다. 특히 CVE-2023-5129는 0.5.0에서 1.3.1까지의 libwebp 버전에 영향을 미칩니다. 그러나 Google은 버전 1.3.2에서 이 문제를 신속하게 해결했습니다. 그 심각성은 다음에 의해 강조됩니다. 완벽한 CVSS 점수 10.0은 중요한 성격을 나타냅니다.

You Might Also Like
iOS 16: iPhone에서 음성 메모를 보내는 방법은 무엇입니까?
iOS 16: iPhone에서 음성 메모를 보내는 방법은 무엇입니까?
트위터, 괴롭힘으로부터 사용자를 보호하기 위한 새로운 조치 제안
트위터, 괴롭힘으로부터 사용자를 보호하기 위한 새로운 조치 제안
MW3 좀비가 작동하지 않나요? 다음 수정 사항을 시도해 보세요!
MW3 좀비가 작동하지 않나요? 다음 수정 사항을 시도해 보세요!

연결은 무엇입니까?

Rezilion의 연구원들은 이전에 CVE-2023-41064, 버퍼 오버플로 취약점Apple의 ImageI/O 프레임워크 내에서 및 CVE-2023-4863, 앞서 언급한 Chrome 제로데이, 본질적으로 동일한 결함의 발현. 결과적으로 그들의 가설은 정확했습니다. CVE-2023-5129의 출현으로 이어집니다.

  블랙프라이데이 온라인 매출 사상 처음 감소
CVE-2023-5129
CVE-2023-5129의 심각한 성격은 완벽한 CVSS 점수 10.0으로 나타나 심각성을 강조합니다(이미지 제공).

광범위한 영향

이 계시의 중요성은 전 세계로 확장됩니다.다양한 애플리케이션과 플랫폼이 있습니다. libwebp 라이브러리는 다음 사항에 필수적입니다.

  • 수십억 번에 걸쳐 집합적으로 다운로드되고 배포된 인기 컨테이너 이미지(예: drupal, ngnix, Perl, Python, Ruby, Rust, wordpress).
  • libwebp에 의존하는 다양한 유틸리티.
  • Chrome, Firefox, Microsoft Edge, Opera 등과 같은 주요 웹 브라우저.
  • Debian, Ubuntu, Alpine, Gentoo, SUSE 등을 포함한 다양한 Linux 배포판.
  • 수많은 크로스 플랫폼 데스크톱 애플리케이션의 기반 역할을 하는 Electron 프레임워크입니다.
  • Microsoft Teams 및 Slack부터 Discord, LibreOffice, 1Password, Telegram, Signal Desktop 등에 이르는 다양한 애플리케이션.

하는 동안 일부는 이미 패치를 통합했습니다. 취약점을 해결하기 위해, 다른 사람들은 아직 이를 따르지 않았습니다. 소비자는 오래된 조언에 주의를 기울여야 합니다. 운영 체제와 소프트웨어를 정기적으로 업데이트하십시오.

기업 역량 강화

취약성 스캐너를 활용하는 기업의 경우, 이 개발은 다음을 의미합니다. 중요한 진전. 이제 그들은 할 수 있다 자동으로시스템 전반의 취약점을 감지하고 해결합니다.

  아르헨티나의 하비에르 밀레이 대통령이 비트코인을 3% 상승시켰습니다.

조치를 취하다

전문가들은 강조한다 신속한 조치가 시급함. 의존하는 기업 취약점 스캐너 지금 가지고 있다 CVE-2023-5129 위협을 신속하게 탐지하고 완화하는 데 있어 중요한 이점입니다. 톰 셀러스(Tom Sellers)는 다음을 제공합니다. macOS 사용자가 패치된 Electron 버전을 식별하기 위한 실용적인 명령, 잠재적인 위험으로부터 애플리케이션을 강화합니다.

톰 셀러스, 수석연구원 runZero에서 공유했습니다 macOS 사용자를 위한 쉘 명령 어떤 애플리케이션이 기반으로 하는지 식별하기 위해 특정 Electron 버전. 버전 22.3.24, 24.8.3, 25.8.1, 26.2.1, 및 27.0.0-beta.2 필요한 패치를 받았고, 사용자에게 추가적인 보안 계층을 제공합니다.

CVE-2023-5129
비평가들은 Google의 감독으로 인해 익스플로잇 패치가 지연되어 webp 이미지 보기를 통해 악성 코드가 실행될 수 있다고 경고합니다(이미지 제공).

결론적으로, libwebp에서 CVE-2023-5129의 식별이 밝혀졌습니다. 취약점의 상호 연관성 널리 사용되는 응용 프로그램 및 라이브러리 내에서. 정기적인 업데이트, 취약점 검사 등의 사전 조치가 매우 중요합니다. 잠재적인 위협으로부터 시스템과 데이터를 보호합니다.

CVE-2023-5129
월요일에 Google은 CVE-2023-5129를 제출하여 libwebp의 취약점을 정확하게 지정하고 심각도를 8.8에서 중요 10으로 높였습니다(이미지 제공).

그러던 중, 구글의 25번째 생일을 앞두고 개발 소식이 전해졌습니다. 놓치셨다면 Google의 25주년 생일 깜짝 스피너가 어떻게 25주년 축하를 기념했는지에 대한 기사를 꼭 확인하세요.

주요 이미지 출처: Pixabay

  Xiaomi 스마트 안경 Mijia: 사양, 가격 및 출시일

Source: Google, libwebp에서 Chrome 제로데이가 악용되었음을 확인(CVE-2023-5129)