Hacker News 의견

• Google Chrome은 렌더러 내에서 WebP 이미지를 디코드하여, 렌더러 코드 실행에만 잠재적인 취약점을 제한합니다.
• 렌더러의 복잡성으로 인해 매년 수많은 취약점이 발생하지만, 렌더러에서의 성공적인 코드 실행은 웹페이지가 일반적으로 가지는 접근 권한보다 크게 늘리지 않습니다.
• WebP와 같은 새로운 형식의 채택은 JPEG와 같은 기존 형식에 비해 미미한 장점에도 불구하고 보안 취약점을 초래할 수 있습니다.
• 이 문제는 다가오는 Firefox 117.0.1 및 Fenix 117.1.0 릴리스에서 해결될 예정입니다.
• 이미지 크레이트에는 안전한 Rust 구현의 WebP 디코더가 존재하며, 이는 Chromium이 Rust 종속성을 허용하는 정책에 따라 잠재적으로 채택될 수 있습니다.
• 버그를 초래한 원래의 커밋은 Huffman 디코더를 최적화했지만, 신뢰할 수 없는 소스로부터 Huffman 트리가 큰 nbits를 초래하여 할당이 오버플로우될 가능성을 고려하지 못했습니다.
• 이 버그는 Apple에서 식별되었으며, 그들이 발표한 보안 업데이트와 유사한 것으로 보입니다.
• 이미지 코덱은 이미지 처리의 복잡한 성격과 성능 최적화에 대한 압박으로 인해 취약점의 역사를 가지고 있습니다.
• 이 문제가 Electron에 영향을 미치는지, 그리고 그렇다면 어떤 버전에 영향을 미치는지는 불명확합니다.
• 이 취약점은 Pentagon에서 실시하는 것처럼 브라우저를 VM에서 실행하거나 보안 목적으로 평면화된 PDF를 사용하는 것의 중요성을 강조합니다.