O Google atribuiu um novo identificador CVE para uma falha de segurança crítica na biblioteca de imagens libwebp, usada para renderizar imagens no formato WebP.

A vulnerabilidade está sendo ativamente explorada. Identificada como CVE-2023-5129, a falha recebeu a pontuação máxima de 10.0 no sistema de classificação CVSS e está relacionada ao algoritmo de codificação Huffman.

Um arquivo WebP especialmente criado pode fazer com que a libwebp escreva dados fora dos limites no heap, devido a uma falha na função ReadHuffmanCodes().

A vulnerabilidade surge após Apple, Google e Mozilla lançarem correções para um bug similar, identificado como CVE-2023-41064 e CVE-2023-4863, que também poderia resultar em execução arbitrária de código.

A prevalência da libwebp amplia significativamente a superfície de ataque, levantando sérias preocupações para usuários e organizações.

A divulgação ocorre enquanto o Google expande as correções para o CVE-2023-4863, incluindo o canal estável para o ChromeOS e o ChromeOS Flex com o lançamento da versão 15572.50.0.