La vulnerabilità è stata scoperta nella libreria software open source libwebp, la fonte della vulnerabilità, denominata CVE-2023-5129, è un’implementazione errata dell’algoritmo di codifica Huffman, che potrebbe consentire agli aggressori di innescare un overflow del buffer di heap e di eseguire codice arbitrario.
Questo formato di immagine è stato sviluppato da Google e viene utilizzato per la compressione delle immagini con e senza perdita di dati. La falla consente agli attaccanti di eseguire codice arbitrario sulle macchine delle vittime, dando loro la possibilità di prendere il completo controllo del sistema!
CVE-2023-5129 influisce sulle versioni di libwebp da 0.5.0 a 1.3.1 ed è stato corretto nella versione 1.3.2. Ha ricevuto un punteggio CVSS “perfetto” (10.0), il che significa che è il più critico possibile.
ATTENZIONE: Gli utenti sono fortemente consigliati ad aggiornare i loro sistemi per abbassare il rischio di compromissione. Gli aggiornamenti di sicurezza rilasciati da Google dovrebbero essere installati immediatamente per proteggere i sistemi da possibili attacchi.
Prof. Adriani
DAVIDE POMPEI
CHRISTIAN MOSCI