WebP 0day

 (blog.isosceles.com)
2 poin oleh GN⁺ 2023-09-23 | 1 komentar | Bagikan ke WhatsApp
  • Google baru-baru ini merilis pembaruan stabil untuk Chrome, termasuk perbaikan keamanan untuk heap buffer overflow di pustaka gambar WebP yang dilaporkan oleh tim SEAR Apple
  • Kerentanan yang telah diketahui, CVE-2023-4863, sedang dieksploitasi di dunia nyata, yang berarti seseorang telah menggunakan eksploit yang memanfaatkan kerentanan ini
  • Tulisan ini memberikan analisis teknis terhadap CVE-2023-4863 dan pemicu proof-of-concept yang juga dikenal sebagai "WebP 0day"
  • Kerentanan berada pada dukungan "kompresi lossless" di WebP, format gambar lossless yang dapat menyimpan dan memulihkan piksel dengan akurasi 100%
  • Mengingat kompleksitas kode Huffman dan kondisi spesifik yang diperlukan untuk memicu bug, kerentanan ini kemungkinan besar ditemukan melalui peninjauan kode manual
  • Bug ini adalah kerentanan yang kuat dalam pustaka open source yang digunakan secara luas, dan sulit untuk di-fuzz sehingga menjadi masalah keamanan yang penting
  • Bug ini kemungkinan besar adalah kerentanan yang sama dengan yang digunakan dalam serangan BLASTPASS, yang terkait dengan penyebaran spyware Pegasus milik NSO Group menggunakan eksploit "zero-click" terhadap iMessage
  • Tulisan ini menyarankan bahwa menahan detail teknis dasar tentang cara kerja serangan semacam ini lebih menguntungkan pihak pembela daripada penyerang, karena ketimpangan informasi sudah ada
  • Penulis menyerukan investasi yang lebih besar pada peninjauan kode sumber secara aktif dan fokus untuk memastikan parser di-sandbox dengan benar demi meningkatkan keamanan

Bacaan terkait

1 komentar

 
GN⁺ 2023-09-23
Komentar Hacker News
  • Artikel tentang bug pada format gambar WebP, dibandingkan dengan bug Timsort pada tahun 2015
  • Bug terjadi karena ketidaksesuaian antara ukuran tabel terbesar yang dibuktikan secara resmi dan yang dimasukkan ke dalam source code
  • Menekankan perlunya verifikasi formal dan pentingnya menggunakan bahasa yang aman memori; tidak tepat jika hanya mengandalkan peninjauan manusia
  • Menyebutkan sulitnya mereproduksi proof of concept (POC) eksploitasi, meskipun lokasi dan cara perbaikannya sudah diketahui
  • Mengangkat pertanyaan apakah browser berbasis Chromium lain seperti Brave juga terdampak, dan apakah masalah ini terbatas hanya pada perangkat mobile
  • Mempertanyakan peran source code dalam membantu NSO menemukan bug, serta berspekulasi apakah jika kodenya hanya berupa blob, decompiler modern sudah cukup
  • Mengungkapkan kekhawatiran bahwa hanya dengan melihat gambar saja sudah bisa menimbulkan masalah keamanan
  • Dianggap mengejutkan bahwa bug bisa ada dalam kompresi Huffman, teknik berusia puluhan tahun yang digunakan pada JPEG
  • Mengkritik spesifikasi WebP karena kurang jelas tentang bagaimana kode seharusnya disusun
  • Memuji respons cepat Apple dan Chrome, tetapi mengkritik cara Google menangani masalah ini terkait distribusi Linux
  • Berpendapat bahwa library seperti ini, yang digunakan oleh ratusan juta orang di seluruh dunia, seharusnya tidak ditulis dalam C karena tingkat risikonya tinggi
  • Mengkritik ringkasan artikel karena terlalu bergantung pada fuzzing dan mengusulkan code review serta sandboxing sebagai solusi, tanpa mendorong penggunaan bahasa yang aman memori