「深蓝洞察」2023 年度最野的漏洞

随着37C3欧洲混沌通讯年会上，来自俄罗斯的卡巴斯基研究员对 Operation Triangulation（三角测量行动）漏洞利用链震惊世界的曝光，安全社区在 2023 年底迎来一轮大狂欢。

2023 可能是持续不断的数字安全战争的关键一年。

当我们站在下一个十年的悬崖边时，2023 年注定成为具有深刻转折点意义的一年。

新防御机制的部署和新攻击技术的涌现，将对数字安全格局产生持久影响。

《深蓝洞察 | 2023 年度安全报告》，尝试在这关键的十字路口，更深入地探讨不断变化的新威胁、新攻击技术及可能的防御解决方案。

以下为本期深蓝洞察年度安全报告的第一篇。

2023 年的 9 月 7 日，Apple 发布了紧急安全更新，修复一个类似”三角测量行动”的 0click 在野攻击利用所使用的漏洞。

四天后的 9 月 11 日，Google 紧随其后发布新版本 Chrome，修复了其中存在的同一个漏洞；

又过一天，Mozilla 为 Firefox 发布补丁，同样修复了同一个漏洞。

他们的修复都指向了相同的关键目标 —— libwebp。

究竟是什么样的漏洞，让三大厂商如此般重视？

DARKNAVY·深蓝第一时间对此漏洞展开分析，通过定位 Apple ImageIO 文件进行 bindiff，结合开源补丁，最终成功复现 PoC，并在多平台多软件上验证发现该漏洞均可被触发。

我们意识到，此漏洞的影响范围之广泛、触发方式之丰富，确属罕见。

彼时，不仅主流操作系统 iOS、Android、Linux、Windows下的常用软件如微信、钉钉等受影响，更有无数路由器、摄像头、智能家居等嵌入式设备由于都引用了 libwebp 库，也受此漏洞影响。

9月22日，国外 Isosceles 公开发布了该漏洞 PoC，而当时国内依然还并未对此漏洞引起足够的重视。

考虑到 PoC 可能带来广泛的攻击风险，深蓝即日发布了「 特别预警」这个新iMessage 0-Click 漏洞可能影响你，敦促下游厂商尽快重视修复此漏洞。

深蓝的提醒得到了很多企业团队的认可与致谢，同时也收到了意料之中的一些不同声音：

 XXX 1分钟前

你摸着良心说，这个漏洞真的影响普通人吗？

Google的血馒头好吃吗？ 

基于多年对业界安全应急响应领域的了解，我们清楚，不同的意见大概率源于对漏洞研判理解和应急响应经验的不足：

在发布预警后，就有测试人员反馈网上公开的 PoC 并不能在软件实际运行环境中崩溃，仅能在带 AddressSanitizer 编译的测试程序中崩溃。

事实上，背后的技术原因是：

默认的霍夫曼表分配空间为 0x2e28，这个大小在 Chrome 与 Safari 的环境中，分配出的堆块大小为 0x3000，而漏洞造成的溢出长度在 0x190 左右，刚好不能造成实际的破坏。

要构造实际可用的样本，研究人员需要利用霍夫曼表的其他特性使得所需空间更接近 0x3000。

于是 11 月 3 日，我们选择发布「 深蓝洞察」满分10分的libwebp漏洞利用技术研判报告，尽可能详细并负责任地阐述，这个品相较差的漏洞是如何进行破坏利用的，以帮助更多安全团队更深入理解并修复。

经过深蓝的复测，绝大部分受影响的厂商随后均已修复此漏洞。

故事至此，似乎画上了一个圆满的句号。

12 月 16 日，Google 公开了此漏洞的 issue 页。

绵长的 issue 页详细展示了漏洞修复的过程，与以往在野漏洞不同的是，此次漏洞报告者并非大家熟悉的 Google TAG 成员，而是 Apple Product Security。

这一封机密邮件时隔多月终于公诸于世，在其中， Apple 向 Google 共享了漏洞详情及 PoC，协商如何披露此漏洞。

有二十年漏洞应急响应经验的深蓝，不禁产生疑问：

“为何 Apple 仅向 Google 共享如此重要的威胁情报？微软、华为等其他巨头呢？

libwebp、Chrome 生态下游更多的无数软件无需第一时间知情吗？

Apple 和 Google 在意自己用户的安全，却视其他无数同受影响产品的用户安全如敝履吗？“

一直以来我们面对的，都是在野漏洞被不断利用，各种网络攻击层出不穷的复杂环境。

如此真实背景下，不同国家、组织之间的信息孤岛现象依然尚未改观，这对于应对安全挑战极为不利。

如何建立负责任、高效的威胁情报共享机制，在当今在野漏洞攻击横行的年代，已成为一个必须解决的问题。

明日，请继续关注《深蓝洞察 | 2023 年度安全报告》第二篇。