警惕Webp 0day可跨平台发起无感攻击

adopi

警惕Webp 0day可跨平台发起无感攻击
今年以来我们公众号已经停止做漏洞预警，本次例外发一下。Webp是由Google公司推出的一种全新的图片文件格式，同时支持有损压缩与无损压缩。WebP的设计目标是在减少文件大小的同时，达到和JPEG、PNG、GIF格式相同的图片质量，并提高传输效率。
由于WebP 图像格式中的堆缓冲区溢出漏洞，在 Webp 的逻辑处理中没有正确实现哈夫曼表，BuildHuffmanTable 函数中存在越界写入问题，攻击者可能通过构造恶意数据执行任意代码，打开恶意 WebP 图像可能导致内容进程中的堆缓冲区溢出，该漏洞允许远程攻击者通过精心制作的HTML页面执行越界内存写入，这个漏洞已经被广泛利用。
本次漏洞(CVE-2023-41064与CVE-2023-41061）是由加拿大多伦多大学Citizen Lab团队发现，在被攻击的手机上发现并确认了针对iMessage的零点击攻击BLASTPASS，被攻击者无需任何操作，该攻击能绕过Apple的BlastDoor，对受害者手机实施无感知监视活动。该漏洞影响面可以说是巨大，并且攻击投递的方式很丰富。


大概的时间线：


9月6日，苹果公司的安全工程与架构（SEAR）团队和多伦多大学蒙克学院的Citizen Lab报告了这一漏洞。
9月7日，Apple发布了一个紧急安全补丁，修复了一个iMessage 0-Click攻击事件。
9月11日，Google发布Chrome浏览器的补丁，但更多受此漏洞组件影响的软件厂商，目前仍未发布安全修复程序。
9月12日，Mozilla发布了安全更新，修复了 Firefox 和 Thunderbird 中的漏洞（CVE-2023-4863）。

9月22日，针对该漏洞的PoC已在网络上被公开。
可攻击的平台：

iPhone、iPad、Mac、Windows、Android及其它操作系统下使用了有漏洞的webp组件的软件（如Chrome、Firefox、微信、钉钉、QQ、Edge、Brave、Signal、1Password 等）的用户都面临被攻击的风险。


详细漏洞分析：

    https://citizenlab.ca/2023/09/bl ... ptured-in-the-wild/

    https://www.accessnow.org/public ... rget-putins-critic/

    https://blog.isosceles.com/the-webp-0day/