Analýza zranitelnosti CVE-2023-4863 v knihovně libwebp
Analysis of the CVE-2023-4863 vulnerability in libwebp
Typ dokumentu
bakalářská prácebachelor thesis
Autor
Pavel Holý
Vedoucí práce
Kokeš Josef
Oponent práce
Fornůsek Simona
Studijní obor
Informační bezpečnost 2021Studijní program
InformatikaInstituce přidělující hodnost
katedra informační bezpečnostiObhájeno
2024-06-19Práva
A university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.htmlVysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.html
Metadata
Zobrazit celý záznamAbstrakt
Tato práce analyzuje zranitelnost CVE-2023-4863, která se týká přetečení bufferu na haldě v knihovně libwebp, což je hojně používaná knihovna pro práci s obrázky ve formátu WebP. Protože se toto přetečení bufferu projeví při dekompresi bezztrátového obrázku, který je založený na Huffmanově kódování, tak tato práce popisuje možné Huffmanovy kódy, které způsobí přetečení bufferu. Dále prozkoumává možnost zneužití této zranitelnosti pro škodlivé úmysly. Jako výstup tato práce obsahuje Linuxovou proof-of-concept aplikaci, která používá zranitelnou komponentu z libwebp a může být zneužita pro spuštění útočníkova kódu. Existence takové zneužitelné aplikace zdůrazňuje důležitost této zranitelnosti. This thesis provides an analysis of the CVE-2023-4863 heap buffer overflow vulnerability in the libwebp library, a widely used library for working with the WebP image format. As the overflow occurs in the lossless image decompression based on the Huffman tree coding, the thesis describes the possibilities of Huffman codes that lead to buffer overflow. Next, the possibility of leveraging the vulnerability for malicious intents is explored. As a result, the thesis contains a Linux proof-of-concept application, which incorporates the vulnerable libwebp component and can be exploited to remote code execution. The existence of such exploitable application emphasizes the importance of the vulnerability.