INTRODUCCIÓ
Google ha assignat un nou identificador CVE per a una vulnerabilitat a la biblioteca d’imatges libwebp, utilitzada per a renderitzar imatges en format WebP, que ha sigut vista explotada activament. La vulnerabilitat, identificada com CVE-2023-5129, ha sigut qualificada amb la màxima puntuació de gravetat (10.0) en el sistema de qualificació CVSS.
ANÀLISI
La vulnerabilitat permet que, mitjançant un arxiu WebP especialment dissenyat, la biblioteca libwebp escriga dades fora dels límits de la memòria, la qual cosa podria portar a problemes de seguretat greus. Esta vulnerabilitat es basa en un problema relacionat amb l’algorisme de codificació Huffman.
RECOMANACIONS
De moment no s’ha generat cap pegat per a mitigar esta vulnerabilitat, des del CSIRT-CV es generarà una nova CAT quan hi haja actualització sobre aquest tema.
Mantindre els sistemes actualitzats és essencial per a la seguretat de les empreses, una mala planificació de les actualitzacions podria suposar un perill. A més, tindre un pla d’actuació enfront d’incidents pot minimitzar l’impacte d’un ciberatac.
RECURSOS AFECTATS
Libwebp Image Library
REFERÈNCIES
[1] https://nvd.nist.gov/vuln/detail/CVE-2023-5129[2] https://chromium.googlesource.com/webm/libwebp/+/2af26267cdfcb63a88e5c74a85927a12d6ca1d76