0day de WebP

 (blog.isosceles.com)
2 puntos por GN⁺ 2023-09-23 | 1 comentarios | Compartir por WhatsApp
  • Google lanzó recientemente una actualización estable para Chrome, que incluye una corrección de seguridad para un desbordamiento de búfer en el heap en la biblioteca de imágenes WebP reportado por el equipo SEAR de Apple
  • La vulnerabilidad conocida como CVE-2023-4863 está siendo explotada activamente, es decir, alguien ya estaba usando un exploit que aprovechaba esta vulnerabilidad
  • La publicación ofrece un análisis técnico de CVE-2023-4863 y un disparador de prueba de concepto también conocido como "0day de WebP"
  • La vulnerabilidad se encuentra en el soporte de WebP para la "compresión sin pérdida", un formato de imagen sin pérdida que puede almacenar y restaurar píxeles con 100% de precisión
  • Dada la complejidad de los códigos Huffman y las condiciones específicas necesarias para activar el bug, es muy probable que la vulnerabilidad haya sido descubierta mediante revisión manual del código
  • El bug es una vulnerabilidad potente en una biblioteca de código abierto ampliamente usada y, al ser difícil de detectar con fuzzing, se convierte en un problema de seguridad importante
  • Es muy probable que este bug sea la misma vulnerabilidad usada en el ataque BLASTPASS, relacionado con el despliegue del spyware Pegasus del grupo NSO mediante un exploit de "cero clic" contra iMessage
  • La publicación sugiere que reservarse ciertos detalles técnicos básicos sobre cómo funcionan estos ataques beneficia más a los defensores que a los atacantes, lo que crea una asimetría de información
  • El autor pide una mayor inversión en revisión activa del código fuente y un enfoque en garantizar que los parsers estén correctamente aislados en sandbox para mejorar la seguridad

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-09-23
Opiniones en Hacker News
  • Artículo sobre un bug en el formato de imagen WebP, comparado con el bug de Timsort de 2015
  • El bug ocurrió por una discrepancia entre el tamaño máximo de tabla demostrado oficialmente y el ingresado en el código fuente
  • Se enfatiza la necesidad de la verificación formal y la importancia de usar lenguajes con seguridad de memoria; depender solo de la revisión humana es inadecuado
  • Se menciona la dificultad de reproducir la prueba de concepto (POC) del exploit, a pesar de que se conoce la ubicación y cómo corregirlo
  • Se plantean dudas sobre si otros navegadores basados en Chromium, como Brave, también fueron afectados y si el problema estaba limitado solo a móviles
  • Se cuestiona el papel del código fuente para que NSO encontrara el bug, y se especula si, de haber sido solo blob-only, los descompiladores modernos habrían bastado
  • Se expresa preocupación por el hecho de que solo ver una imagen pueda causar un problema de seguridad
  • Sorprende que exista un bug en la compresión Huffman, una tecnología de décadas usada en JPEG
  • Se critica que la especificación de WebP no sea lo suficientemente clara sobre cómo debe estructurarse el código
  • Se elogia la rápida respuesta de Apple y Chrome, pero se critica cómo Google manejó el problema en relación con las distribuciones de Linux
  • Se argumenta que bibliotecas como esta, usadas por cientos de millones de personas en todo el mundo, no deberían estar hechas en C debido al alto nivel de riesgo
  • Se critica que el resumen del artículo dependa demasiado del fuzzing y proponga la revisión de código y el sandboxing como solución, sin abogar por el uso de lenguajes con seguridad de memoria