GN⁺: WebP 0day
(blog.isosceles.com)- Google, 최근 Chrome에 대한 안정적인 업데이트를 출시, Apple의 SEAR 팀이 보고한 WebP 이미지 라이브러리의 힙 버퍼 오버플로우 보안 수정 포함
- 알려진 취약점인 CVE-2023-4863, 야생에서 악용되고 있음, 즉 누군가가 이 취약점을 이용한 익스플로잇을 사용하고 있었음
- 게시물은 CVE-2023-4863에 대한 기술 분석과 "WebP 0day"라고도 알려진 증거 개념 트리거를 제공
- 취약점은 WebP의 "무손실 압축" 지원에 있음, 100% 정확도로 픽셀을 저장하고 복원할 수 있는 무손실 이미지 형식
- 취약점은 Huffman 코드의 복잡성과 버그를 트리거하는 데 필요한 특정 조건을 고려할 때, 수동 코드 검토를 통해 발견되었을 가능성이 높음
- 버그는 널리 사용되는 오픈 소스 라이브러리에서 강력한 취약점이며, 퍼즈하기 어려워 중요한 보안 문제가 됨
- 버그는 BLASTPASS 공격에서 사용된 것과 동일한 취약점일 가능성이 높으며, 이는 iMessage에 대한 "제로 클릭" 익스플로잇을 사용하여 NSO 그룹의 Pegasus 스파이웨어를 배포하는 데 관련되어 있음
- 게시물은 이러한 공격이 어떻게 작동하는지에 대한 기본적인 기술 세부 정보를 보류하는 것이 공격자보다 방어자에게 더 이익이라고 제안하며, 이는 정보의 불균형을 만듦
- 저자는 능동적인 소스 코드 검토에 대한 더 큰 투자와 파서가 적절하게 샌드박스 처리되도록 하는 데 중점을 두어 보안을 향상시키기를 촉구
Hacker News 의견
- 웹P 이미지 형식의 버그에 대한 기사, 2015년의 Timsort 버그와 비교
- 공식적으로 증명된 가장 큰 테이블 크기와 소스 코드에 입력된 것 사이의 불일치로 인한 버그 발생
- 공식 검증의 필요성과 메모리 안전 언어 사용의 중요성 강조, 인간의 검토에만 의존하는 것은 부적절
- 악용의 개념 증명(POC) 재현의 어려움 언급, 위치와 수정 방법이 알려져 있음에도 불구하고
- Brave와 같은 다른 크롬 기반 브라우저가 영향을 받았는지, 문제가 모바일에만 국한되어 있는지에 대한 의문 제기
- NSO가 버그를 찾는 데 소스 코드의 역할에 대한 의문, 코드가 blob-only였다면 현대의 디컴파일러가 충분했을지에 대한 추측
- 이미지를 보는 것만으로도 보안 문제가 발생할 수 있다는 우려 제기
- JPEG에 사용되는 수십 년 된 기술인 Huffman 압축에서의 버그 존재가 놀라움으로 받아들여짐
- 웹P 사양이 코드 구성 방법에 대한 명확성이 부족하다는 비판
- 애플과 크롬의 신속한 대응에 대한 칭찬, 그러나 리눅스 배포판과 관련하여 구글의 문제 처리에 대한 비판
- 이와 같이 전 세계 수백만 명이 사용하는 라이브러리가 높은 위험 비율 때문에 C를 사용하지 않아야 한다는 주장
- 기사 요약이 과도하게 fuzzing에 의존하고 있으며, 코드 검토와 샌드박싱을 해결책으로 제안하는 것에 대한 비판, 메모리 안전 언어 사용을 주장하지 않음