0day do WebP

 (blog.isosceles.com)
2 pontos por GN⁺ 2023-09-23 | 1 comentários | Compartilhar no WhatsApp
  • O Google lançou recentemente uma atualização estável para o Chrome, incluindo uma correção de segurança para um heap buffer overflow na biblioteca de imagens WebP, reportado pela equipe SEAR da Apple
  • A vulnerabilidade conhecida como CVE-2023-4863 está sendo explorada ativamente, ou seja, alguém já estava usando um exploit que tirava proveito dessa falha
  • O post fornece uma análise técnica da CVE-2023-4863 e um gatilho de prova de conceito também conhecido como "WebP 0day"
  • A vulnerabilidade está no suporte do WebP à "compressão sem perdas", um formato de imagem sem perdas capaz de armazenar e restaurar pixels com 100% de precisão
  • Considerando a complexidade dos códigos Huffman e as condições específicas necessárias para acionar o bug, é bastante provável que a falha tenha sido descoberta por meio de revisão manual de código
  • O bug é uma vulnerabilidade poderosa em uma biblioteca open source amplamente usada e, por ser difícil de encontrar com fuzzing, torna-se um problema de segurança importante
  • É bastante provável que o bug seja a mesma vulnerabilidade usada no ataque BLASTPASS, relacionado à distribuição do spyware Pegasus, do grupo NSO, por meio de um exploit "zero-click" contra o iMessage
  • O post sugere que reter os detalhes técnicos fundamentais de como esses ataques funcionam beneficia mais os defensores do que os atacantes, criando uma assimetria de informação
  • O autor pede mais investimento em revisão ativa de código-fonte e foco em garantir que parsers sejam adequadamente isolados em sandbox para melhorar a segurança

Leituras relacionadas

1 comentários

 
GN⁺ 2023-09-23
Comentários do Hacker News
  • Artigo sobre um bug no formato de imagem WebP, comparado ao bug do Timsort de 2015
  • Ocorrência do bug causada por uma discrepância entre o maior tamanho de tabela oficialmente comprovado e o valor inserido no código-fonte
  • Ênfase na necessidade de verificação formal e na importância de usar linguagens com segurança de memória; é inadequado depender apenas de revisão humana
  • Menção à dificuldade de reproduzir a prova de conceito (POC) do exploit, apesar de a localização e a forma de correção serem conhecidas
  • Levantamento da dúvida sobre se outros navegadores baseados em Chromium, como o Brave, foram afetados e se o problema estava limitado apenas ao mobile
  • Questionamento sobre o papel do código-fonte para a NSO encontrar o bug, com especulação sobre se decompiladores modernos teriam sido suficientes caso o código fosse apenas blob-only
  • Preocupação de que apenas visualizar uma imagem já possa causar um problema de segurança
  • Surpresa com a existência de um bug na compressão Huffman, uma tecnologia usada há décadas em JPEG
  • Crítica de que a especificação do WebP não é clara o suficiente sobre como o código deve ser estruturado
  • Elogios à resposta rápida da Apple e do Chrome, mas críticas à forma como o Google lidou com o problema em relação às distribuições Linux
  • Argumento de que bibliotecas usadas por centenas de milhões de pessoas no mundo todo não deveriam usar C por causa do alto nível de risco
  • Crítica de que o resumo do artigo depende demais de fuzzing e propõe revisão de código e sandboxing como solução, sem defender o uso de linguagens com segurança de memória