0day WebP

 (blog.isosceles.com)
2 điểm bởi GN⁺ 2023-09-23 | 1 bình luận | Chia sẻ qua WhatsApp
  • Google gần đây đã phát hành một bản cập nhật ổn định cho Chrome, bao gồm bản vá bảo mật cho lỗi tràn bộ đệm heap trong thư viện ảnh WebP do nhóm SEAR của Apple báo cáo
  • Lỗ hổng đã được biết đến với mã CVE-2023-4863 hiện đang bị khai thác ngoài thực tế, nghĩa là đã có kẻ sử dụng mã khai thác nhắm vào lỗ hổng này
  • Bài viết cung cấp phân tích kỹ thuật về CVE-2023-4863 cùng với trình kích hoạt proof-of-concept còn được gọi là "WebP 0day"
  • Lỗ hổng nằm trong phần hỗ trợ "nén không mất dữ liệu" của WebP, một định dạng ảnh không mất dữ liệu có thể lưu và khôi phục điểm ảnh với độ chính xác 100%
  • Xét đến độ phức tạp của mã Huffman và các điều kiện cụ thể cần thiết để kích hoạt lỗi, nhiều khả năng lỗ hổng đã được phát hiện thông qua quá trình rà soát mã thủ công
  • Đây là một lỗi nghiêm trọng trong thư viện mã nguồn mở được sử dụng rộng rãi, khó fuzzing nên trở thành một vấn đề bảo mật quan trọng
  • Nhiều khả năng đây cũng là chính lỗ hổng đã được dùng trong cuộc tấn công BLASTPASS, có liên quan đến việc phát tán phần mềm gián điệp Pegasus của NSO Group bằng một khai thác "zero-click" nhắm vào iMessage
  • Bài viết cho rằng việc tạm thời giữ lại một số chi tiết kỹ thuật cơ bản về cách các cuộc tấn công này hoạt động sẽ có lợi cho bên phòng thủ hơn là kẻ tấn công, vì hiện tồn tại sự bất cân xứng thông tin
  • Tác giả kêu gọi đầu tư nhiều hơn vào việc rà soát mã nguồn một cách chủ động và tập trung bảo đảm các parser được sandbox đúng cách để cải thiện an ninh

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-09-23
Ý kiến trên Hacker News
  • Bài viết về lỗi trong định dạng ảnh WebP, được so sánh với lỗi Timsort năm 2015
  • Lỗi phát sinh do sự không khớp giữa kích thước bảng lớn nhất được chứng minh chính thức và giá trị được nhập trong mã nguồn
  • Nhấn mạnh sự cần thiết của kiểm chứng chính thức và tầm quan trọng của việc sử dụng ngôn ngữ an toàn bộ nhớ, cho rằng không phù hợp khi chỉ dựa vào việc rà soát của con người
  • Đề cập đến sự khó khăn trong việc tái hiện bản chứng minh khái niệm khai thác (POC), dù đã biết vị trí và cách sửa
  • Đặt câu hỏi liệu các trình duyệt khác dựa trên Chromium như Brave có bị ảnh hưởng hay không, và liệu vấn đề có chỉ giới hạn trên di động hay không
  • Nêu nghi vấn về vai trò của mã nguồn trong việc NSO tìm ra lỗi, và suy đoán liệu nếu mã chỉ ở dạng blob-only thì các trình dịch ngược hiện đại có đủ dùng hay không
  • Bày tỏ lo ngại rằng chỉ cần xem hình ảnh cũng có thể phát sinh vấn đề bảo mật
  • Việc tồn tại lỗi trong nén Huffman, một kỹ thuật đã được dùng hàng chục năm trong JPEG, được xem là điều đáng ngạc nhiên
  • Chỉ trích đặc tả WebP thiếu sự rõ ràng về cách tổ chức mã
  • Khen ngợi phản ứng nhanh của Apple và Chrome, nhưng chỉ trích cách Google xử lý vấn đề liên quan đến các bản phân phối Linux
  • Lập luận rằng các thư viện được hàng triệu người trên thế giới sử dụng như thế này không nên dùng C vì mức độ rủi ro quá cao
  • Chỉ trích phần tóm tắt bài viết vì phụ thuộc quá mức vào fuzzing và đề xuất rà soát mã cùng sandboxing làm giải pháp, thay vì ủng hộ việc dùng ngôn ngữ an toàn bộ nhớ