WebP 0day

 (blog.isosceles.com)
2 पॉइंट द्वारा GN⁺ 2023-09-23 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Google ने हाल ही में Chrome के लिए एक stable update जारी किया, जिसमें Apple की SEAR team द्वारा रिपोर्ट की गई WebP image library की heap buffer overflow security fix शामिल है
  • ज्ञात vulnerability CVE-2023-4863 का वास्तविक हमलों में शोषण किया जा रहा है, यानी कोई इस vulnerability का exploit इस्तेमाल कर रहा था
  • यह पोस्ट CVE-2023-4863 का technical analysis और "WebP 0day" के नाम से भी जाना जाने वाला proof-of-concept trigger प्रदान करती है
  • vulnerability WebP के "lossless compression" support में है, जो एक ऐसा lossless image format है जिसमें pixels को 100% सटीकता के साथ store और restore किया जा सकता है
  • Huffman code की जटिलता और bug को trigger करने के लिए आवश्यक विशेष परिस्थितियों को देखते हुए, यह vulnerability संभवतः manual code review के जरिए खोजी गई थी
  • यह bug एक व्यापक रूप से इस्तेमाल होने वाली open source library में मौजूद गंभीर vulnerability है, और इसे fuzz करना कठिन होने के कारण यह एक महत्वपूर्ण security issue बन जाता है
  • बहुत संभव है कि यह bug वही vulnerability हो जिसका इस्तेमाल BLASTPASS attack में किया गया था, जो iMessage पर "zero-click" exploit के जरिए NSO Group के Pegasus spyware को deploy करने से जुड़ा था
  • पोस्ट का सुझाव है कि ऐसे attacks के काम करने के बुनियादी technical details को रोककर रखना attackers की तुलना में defenders के लिए अधिक फायदेमंद है, क्योंकि इससे information asymmetry बनती है
  • लेखक security बेहतर करने के लिए सक्रिय source code review में अधिक निवेश और parsers को सही तरीके से sandbox करने पर अधिक ध्यान देने की अपील करता है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-09-23
Hacker News की राय
  • WebP इमेज फ़ॉर्मैट के बग पर लेख, 2015 के Timsort बग से तुलना
  • आधिकारिक रूप से प्रमाणित सबसे बड़े table size और source code में डाले गए size के बीच असंगति के कारण बग हुआ
  • औपचारिक verification की ज़रूरत और memory-safe languages के उपयोग के महत्व पर ज़ोर, सिर्फ़ मानवीय review पर निर्भर रहना उचित नहीं
  • exploit के proof of concept (POC) को दोहराने में कठिनाई का उल्लेख, जबकि location और fix method ज्ञात हैं
  • Brave जैसे अन्य Chromium-आधारित browsers प्रभावित हुए थे या नहीं, और क्या समस्या सिर्फ़ mobile तक सीमित थी, इस पर सवाल
  • NSO ने बग खोजने में source code ने क्या भूमिका निभाई, इस पर सवाल; अगर code सिर्फ़ blob-only होता तो क्या आधुनिक decompilers काफ़ी होते, इस पर अटकल
  • सिर्फ़ image देखने भर से security issue पैदा हो सकता है, इस पर चिंता
  • JPEG में इस्तेमाल होने वाली दशकों पुरानी तकनीक Huffman compression में बग होना हैरानी की बात मानी गई
  • WebP spec में code को कैसे संरचित किया जाए, इस बारे में स्पष्टता की कमी की आलोचना
  • Apple और Chrome की तेज़ प्रतिक्रिया की सराहना, लेकिन Linux distributions के संदर्भ में Google द्वारा समस्या संभालने के तरीके की आलोचना
  • यह तर्क कि दुनिया भर में लाखों लोग जिस library का उपयोग करते हैं, उसे इतने ऊँचे risk ratio के कारण C का उपयोग नहीं करना चाहिए
  • लेख के सारांश की आलोचना कि वह fuzzing पर ज़रूरत से ज़्यादा निर्भर है और समाधान के रूप में code review और sandboxing का सुझाव देता है, लेकिन memory-safe languages के उपयोग की वकालत नहीं करता