WebP 0day

 (blog.isosceles.com)
2 puan yazan GN⁺ 2023-09-23 | 1 yorum | WhatsApp'ta paylaş
  • Google, yakın zamanda Chrome için kararlı bir güncelleme yayınladı; buna Apple’ın SEAR ekibinin bildirdiği WebP görüntü kütüphanesindeki heap buffer overflow güvenlik düzeltmesi de dahil
  • Bilinen güvenlik açığı CVE-2023-4863, halihazırda gerçek saldırılarda istismar ediliyor; yani birileri bu güvenlik açığını kullanan bir exploit kullanıyordu
  • Yazı, CVE-2023-4863 için teknik analiz ve "WebP 0day" olarak da bilinen bir proof-of-concept tetikleyici sunuyor
  • Güvenlik açığı, WebP’nin "kayıpsız sıkıştırma" desteğinde bulunuyor; bu, piksellerin %100 doğrulukla saklanıp geri yüklenebildiği kayıpsız bir görüntü biçimi
  • Güvenlik açığının, Huffman kodlarının karmaşıklığı ve hatayı tetiklemek için gereken belirli koşullar göz önüne alındığında, büyük olasılıkla manuel kod incelemesiyle bulunmuş olması muhtemel
  • Hata, yaygın olarak kullanılan bir açık kaynak kütüphanesindeki güçlü bir zafiyet ve fuzz edilmesi zor olduğu için önemli bir güvenlik sorunu oluşturuyor
  • Hatanın, BLASTPASS saldırısında kullanılanla aynı güvenlik açığı olması oldukça muhtemel; bu saldırı, iMessage’e yönelik bir "zero-click" exploit kullanarak NSO Group’un Pegasus casus yazılımını dağıtmakla ilişkili
  • Yazı, bu saldırıların nasıl çalıştığına dair temel teknik ayrıntıları şimdilik saklı tutmanın, saldırganlardan çok savunucuların yararına olduğunu ve bunun bir bilgi asimetrisi yarattığını öne sürüyor
  • Yazar, güvenliği artırmak için proaktif kaynak kodu incelemesine daha fazla yatırım yapılması ve parser’ların uygun şekilde sandbox içine alınmasına odaklanılması çağrısında bulunuyor

İlgili okumalar

1 yorum

 
GN⁺ 2023-09-23
Hacker News görüşleri
  • WebP görüntü formatındaki bir hataya dair makale, 2015'teki Timsort hatasıyla karşılaştırılıyor
  • Resmî olarak kanıtlanan en büyük tablo boyutu ile kaynak koda girilen değer arasındaki uyumsuzluk nedeniyle hata oluştuğu belirtiliyor
  • Resmî doğrulamanın gerekliliği ve bellek güvenli diller kullanmanın önemi vurgulanıyor; yalnızca insan incelemesine güvenmenin yetersiz olduğu söyleniyor
  • Konum ve düzeltme yöntemi biliniyor olmasına rağmen, istismarın kavram kanıtını (POC) yeniden üretmenin zorluğundan bahsediliyor
  • Brave gibi diğer Chromium tabanlı tarayıcıların etkilenip etkilenmediği ve sorunun yalnızca mobil ile sınırlı olup olmadığı sorgulanıyor
  • NSO'nun hatayı bulmasında kaynak kodun rolü sorgulanıyor; kod yalnızca blob olarak sunulsaydı modern decompiler'ların yeterli olup olmayacağı üzerine tahmin yürütülüyor
  • Yalnızca bir görsele bakmanın bile güvenlik sorununa yol açabilmesi konusunda endişe dile getiriliyor
  • JPEG'te kullanılan onlarca yıllık bir teknoloji olan Huffman sıkıştırmasında hata bulunması şaşırtıcı karşılanıyor
  • WebP spesifikasyonunun kodun nasıl yapılandırılması gerektiği konusunda yeterince açık olmadığı eleştirisi yapılıyor
  • Apple ve Chrome'un hızlı tepkisi övülüyor, ancak Linux dağıtımları bağlamında Google'ın sorunu ele alış biçimi eleştiriliyor
  • Dünya çapında milyonlarca kişinin kullandığı böyle bir kütüphanede, yüksek risk oranı nedeniyle C kullanılmaması gerektiği savunuluyor
  • Makale özetinin fuzzing'e aşırı dayandığı, çözüm olarak kod incelemesi ve sandboxing önerdiği, ancak bellek güvenli dillerin kullanımını savunmadığı eleştiriliyor