WebP 0day

 (blog.isosceles.com)
2 คะแนน โดย GN⁺ 2023-09-23 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Google ออกอัปเดตเสถียรล่าสุดสำหรับ Chrome ซึ่งรวมการแก้ไขด้านความปลอดภัยของช่องโหว่ heap buffer overflow ในไลบรารีภาพ WebP ที่ทีม SEAR ของ Apple เป็นผู้รายงาน
  • ช่องโหว่ที่ทราบกันในชื่อ CVE-2023-4863 กำลังถูกนำไปใช้โจมตีจริงอยู่แล้ว หมายความว่ามีผู้ใช้เอ็กซ์พลอยต์ที่อาศัยช่องโหว่นี้อยู่
  • โพสต์นี้นำเสนอการวิเคราะห์ทางเทคนิคของ CVE-2023-4863 และตัวกระตุ้น proof of concept ที่รู้จักกันในชื่อ "WebP 0day"
  • ช่องโหว่นี้อยู่ในส่วนรองรับ "การบีบอัดแบบไม่สูญเสียข้อมูล" ของ WebP ซึ่งเป็นรูปแบบภาพแบบ lossless ที่สามารถเก็บและกู้คืนพิกเซลได้อย่างถูกต้อง 100%
  • เมื่อพิจารณาจากความซับซ้อนของโค้ด Huffman และเงื่อนไขเฉพาะที่จำเป็นต่อการกระตุ้นบั๊ก จึงมีความเป็นไปได้สูงว่าช่องโหว่นี้ถูกค้นพบจากการตรวจทานโค้ดด้วยตนเอง
  • บั๊กนี้เป็นช่องโหว่ร้ายแรงในไลบรารีโอเพนซอร์สที่ถูกใช้อย่างแพร่หลาย และยากต่อการ fuzz จึงกลายเป็นประเด็นความปลอดภัยสำคัญ
  • มีความเป็นไปได้สูงว่าบั๊กนี้คือช่องโหว่เดียวกับที่ถูกใช้ในการโจมตี BLASTPASS ซึ่งเกี่ยวข้องกับการกระจายสปายแวร์ Pegasus ของ NSO Group ผ่านเอ็กซ์พลอยต์แบบ "zero-click" ต่อ iMessage
  • โพสต์นี้เสนอว่าการระงับรายละเอียดเชิงเทคนิคพื้นฐานเกี่ยวกับวิธีการทำงานของการโจมตีเหล่านี้ไว้ อาจเป็นประโยชน์ต่อฝ่ายป้องกันมากกว่าฝ่ายโจมตี เพราะช่วยลดความไม่สมดุลของข้อมูล
  • ผู้เขียนเรียกร้องให้เพิ่มการลงทุนในการตรวจทานซอร์สโค้ดเชิงรุก และให้ความสำคัญกับการทำ sandbox ให้ parser อย่างเหมาะสมเพื่อยกระดับความปลอดภัย

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-09-23
ความเห็นจาก Hacker News
  • บทความเกี่ยวกับบั๊กในฟอร์แมตภาพ WebP โดยเปรียบเทียบกับบั๊ก Timsort ในปี 2015
  • บั๊กเกิดจากความไม่สอดคล้องกันระหว่างขนาดตารางที่พิสูจน์อย่างเป็นทางการว่าใหญ่ที่สุดกับค่าที่ใส่ไว้ในซอร์สโค้ด
  • เน้นย้ำความจำเป็นของการตรวจพิสูจน์อย่างเป็นทางการและความสำคัญของการใช้ภาษาแบบ memory-safe โดยการพึ่งพาเพียงการตรวจทานโดยมนุษย์นั้นไม่เพียงพอ
  • กล่าวถึงความยากในการทำซ้ำ proof of concept (POC) ของการโจมตี ทั้งที่ทราบตำแหน่งและวิธีแก้แล้วก็ตาม
  • ตั้งคำถามว่าเบราว์เซอร์ที่ใช้ Chromium อื่น ๆ เช่น Brave ได้รับผลกระทบด้วยหรือไม่ และปัญหานี้จำกัดอยู่แค่มือถือหรือเปล่า
  • ตั้งข้อสงสัยว่าซอร์สโค้ดมีบทบาทแค่ไหนในการที่ NSO พบช่องโหว่นี้ และคาดเดาว่าถ้าโค้ดเป็นแบบ blob-only ดีคอมไพเลอร์สมัยใหม่จะเพียงพอหรือไม่
  • แสดงความกังวลว่าเพียงแค่ดูรูปภาพก็อาจก่อให้เกิดปัญหาด้านความปลอดภัยได้
  • รู้สึกน่าประหลาดใจที่มีบั๊กอยู่ใน Huffman compression ซึ่งเป็นเทคโนโลยีเก่าแก่หลายทศวรรษที่ใช้ใน JPEG
  • วิจารณ์ว่าสเปกของ WebP ขาดความชัดเจนเกี่ยวกับวิธีการจัดโครงสร้างโค้ด
  • ชื่นชมการตอบสนองที่รวดเร็วของ Apple และ Chrome แต่ก็วิจารณ์การจัดการปัญหาของ Google ในส่วนที่เกี่ยวกับลินุกซ์ดิสทริบิวชัน
  • โต้แย้งว่าไลบรารีที่ผู้คนนับล้านทั่วโลกใช้งานอยู่แบบนี้ไม่ควรใช้ C เพราะมีความเสี่ยงสูง
  • วิจารณ์ว่าบทสรุปของบทความพึ่งพา fuzzing มากเกินไป และเสนอ code review กับ sandboxing เป็นทางออกโดยไม่สนับสนุนการใช้ภาษาแบบ memory-safe