Центр мониторинга и реагирования UserGate предупреждает о критической уязвимости в библиотеке libwebp, использующейся для обработки изображений WebP (CVE-2023-4863)

Общие сведения

CVE-2023-4863 – уязвимость, связанная с переполнением буфера во время работы с WebP (формат изображения, созданный Google). Этот формат, обеспечивающий высокое качество сжатия изображений, активно применяется в интернете. В случае открытия специально сформированной картинки в формате WebP злоумышленник может выполнить вредоносный код в системе с правами пользователя, запустившего приложение.

Рейтинг

В соответствии с CVSS v3.1 уязвимости присвоен рейтинг: 9.8.

Уязвимые версии и продукты:

• все браузеры на базе движка Chromium (Chrome version <116.0.5845.187);
• Firefox, Thunderbird (Firefox < 117.0.1, Firefox ESR < 115.2.1, Firefox ESR < 102.15.1, Thunderbird < 102.15.1, Thunderbird < 115.2.2);
• все приложения, использующие библиотеку libwebp.

Рекомендации:

1. установить с сайта производителя последнюю версию ПО (Chrome, Safari, Opera, Edge, Firefox, Thunderbird и т.п.);
2. до обновления браузера можно отключить в нем функционал обработки изображений в формате WebP:

• Chrome:

     - в адресной строке ввести chrome://flags;
     - в поиске ввести WebP;
     - выключить Lens Optimized Image Formats;

• Firefox:

     - в адресной строке ввести about:config;
     - в поиске ввести WebP;
     - отключить image.webp.enabled

3. при использовании продукта UserGate NGFW можно создать правило контентной фильтрации, запрещающее Content-Type "image/webp" (необходима настройка дешифровки пользовательского трафика в SSL Inspection).