INTRODUCCIÓN
Google ha asignado un nuevo identificador CVE para una vulnerabilidad en la biblioteca de imágenes libwebp, utilizada para renderizar imágenes en formato WebP, que ha sido vista explotada activamente. La vulnerabilidad, identificada como CVE-2023-5129, ha sido calificada con la máxima puntuación de gravedad (10.0) en el sistema de calificación CVSS.
ANÁLISIS
La vulnerabilidad permite que, mediante un archivo WebP especialmente diseñado, la biblioteca libwebp escriba datos fuera de los límites de la memoria, lo que podría llevar a problemas de seguridad graves. Esta vulnerabilidad se basa en un problema relacionado con el algoritmo de codificación Huffman.
RECOMENDACIONES
Por el momento no se ha generado ningún parche para mitigar dicha vulnerabilidad, desde el CSIRT-CV se generará una nueva CAT cuando haya actualización al respecto.
Mantener los sistemas actualizados es esencial para la seguridad de las empresas, una mala planificación de las actualizaciones podría suponer un peligro. Además, tener un plan de actuación frente a incidentes puede minimizar el impacto de un ciberataque.
RECURSOS AFECTADOS
Libwebp Image Library
REFERENCIAS
[1] https://nvd.nist.gov/vuln/detail/CVE-2023-5129[2] https://chromium.googlesource.com/webm/libwebp/+/2af26267cdfcb63a88e5c74a85927a12d6ca1d76