Google WebP图像编解码库漏洞分析(CVE-2023-4863)

渗透技巧 8个月前 admin
241 0 0

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)














01

背 景




02

漏洞分析




Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)
Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)
Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)
Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)
Google WebP图像编解码库漏洞分析(CVE-2023-4863)

第5个哈夫曼编码的key值如下:

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

Google WebP图像编解码库漏洞分析(CVE-2023-4863)

03

漏洞补丁




Google WebP图像编解码库漏洞分析(CVE-2023-4863)

当创建完哈夫曼表后,如果是无效的哈夫曼树,返回的大小为0,后续直接抛出错误。

Google WebP图像编解码库漏洞分析(CVE-2023-4863)
Google WebP图像编解码库漏洞分析(CVE-2023-4863)
04

漏洞复现




Google WebP图像编解码库漏洞分析(CVE-2023-4863)


参考链接:


[1]https://citizenlab.ca/2023/09/blastpass-nso-group-iphone-zero-click-zero-day-exploit-captured-in-the-wild/?ref=blog.isosceles.com

[2]https://support.apple.com/en-us/HT213905

[3]https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html

[4]https://en.wikipedia.org/wiki/Huffman_coding

[5]https://developers.google.com/speed/webp/docs/riff_container

[6]https://github.com/madler/zlib/blob/v1.2.5/examples/enough.c

[7]https://chromium.googlesource.com/webm/libwebp/+/902bc9190331343b2017211debcec8d2ab87e17a%5E%21/






启明星辰积极防御实验室(ADLab)





ADLab成立于1999年,是中国安全行业最早成立的攻防技术研究实验室之一,微软MAPP计划核心成员,“黑雀攻击”概念首推者。截止目前,ADLab已通过CVE累计发布安全漏洞1100余个,通过 CNVD/CNNVD/NVDB累计发布安全漏洞3000余个,持续保持国际网络安全领域一流水准。实验室研究方向涵盖基础安全研究、移动与物联网安全研究、工控安全研究、信创安全研究、云安全研究、无线安全研究、高级威胁研究、攻防体系建设。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等





Google WebP图像编解码库漏洞分析(CVE-2023-4863)

原文始发于微信公众号(ADLab):Google WebP图像编解码库漏洞分析(CVE-2023-4863)

版权声明:admin 发表于 2023年10月17日 下午5:32。
转载请注明:Google WebP图像编解码库漏洞分析(CVE-2023-4863) | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...