WebP 0day

 (blog.isosceles.com)
2 Punkte von GN⁺ 2023-09-23 | 1 Kommentare | Auf WhatsApp teilen
  • Google hat kürzlich ein stabiles Update für Chrome veröffentlicht, das einen Sicherheitsfix für einen Heap-Buffer-Overflow in der WebP-Bildbibliothek enthält, der vom SEAR-Team von Apple gemeldet wurde
  • Die bekannte Schwachstelle CVE-2023-4863 wird bereits in freier Wildbahn ausgenutzt, was bedeutet, dass jemand bereits Exploits für diese Schwachstelle eingesetzt hat
  • Der Beitrag liefert eine technische Analyse von CVE-2023-4863 sowie einen Proof-of-Concept-Trigger, der auch als "WebP 0day" bekannt ist
  • Die Schwachstelle befindet sich in der Unterstützung von WebP für "verlustfreie Komprimierung", einem verlustfreien Bildformat, das Pixel mit 100 % Genauigkeit speichern und wiederherstellen kann
  • Die Schwachstelle wurde angesichts der Komplexität der Huffman-Codes und der spezifischen Bedingungen, die zum Auslösen des Bugs erforderlich sind, höchstwahrscheinlich durch manuelle Codeprüfung entdeckt
  • Der Bug ist eine schwerwiegende Schwachstelle in einer weit verbreiteten Open-Source-Bibliothek und schwer zu fuzzing-testen, was ihn zu einem wichtigen Sicherheitsproblem macht
  • Es ist sehr wahrscheinlich, dass der Bug derselbe ist wie die Schwachstelle, die beim BLASTPASS-Angriff verwendet wurde, bei dem mit einem "Zero-Click"-Exploit für iMessage die Pegasus-Spyware der NSO Group verbreitet wurde
  • Der Beitrag legt nahe, dass das Zurückhalten grundlegender technischer Details darüber, wie diese Angriffe funktionieren, den Verteidigern mehr nützt als den Angreifern, da sonst ein Informationsungleichgewicht entsteht
  • Der Autor fordert größere Investitionen in proaktive Quellcode-Prüfungen und einen stärkeren Fokus darauf, dass Parser angemessen sandboxed werden, um die Sicherheit zu verbessern

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-09-23
Hacker-News-Meinungen
  • Ein Artikel über einen Bug im WebP-Bildformat, verglichen mit dem Timsort-Bug von 2015
  • Der Bug entstand durch eine Diskrepanz zwischen der offiziell bewiesenen größten Tabellengröße und dem im Quellcode eingetragenen Wert
  • Hervorgehoben werden die Notwendigkeit formaler Verifikation und die Bedeutung speichersicherer Sprachen; sich allein auf menschliche Prüfung zu verlassen, sei unangemessen
  • Erwähnt wird die Schwierigkeit, einen Proof of Concept (POC) für den Exploit nachzustellen, obwohl die Stelle und die Art der Behebung bekannt sind
  • Es wird gefragt, ob auch andere Chromium-basierte Browser wie Brave betroffen waren und ob das Problem auf Mobilgeräte beschränkt war
  • Zweifel daran, welche Rolle der Quellcode für NSO beim Auffinden des Bugs spielte; Spekulation, ob moderne Decompiler ausgereicht hätten, wenn der Code nur als Blob vorgelegen hätte
  • Es wird die Sorge geäußert, dass schon das bloße Ansehen eines Bildes ein Sicherheitsproblem auslösen kann
  • Es wird als überraschend empfunden, dass ein Bug in der Huffman-Kompression existiert, einer seit Jahrzehnten in JPEG verwendeten Technik
  • Kritik daran, dass die WebP-Spezifikation nicht klar genug beschreibt, wie der Code aufgebaut werden soll
  • Lob für die schnelle Reaktion von Apple und Chrome, zugleich aber Kritik an Googles Umgang mit dem Problem im Zusammenhang mit Linux-Distributionen
  • Es wird argumentiert, dass Bibliotheken wie diese, die von Hunderten Millionen Menschen weltweit genutzt werden, wegen des hohen Risikos nicht in C geschrieben sein sollten
  • Kritik daran, dass die Zusammenfassung des Artikels sich zu stark auf Fuzzing stützt und Code-Review sowie Sandboxing als Lösungen vorschlägt, ohne für die Nutzung speichersicherer Sprachen zu plädieren