Bug korupsi memori zlib kuno memicu masalah keamanan – Keamanan
Technology

Bug korupsi memori zlib kuno memicu masalah keamanan – Keamanan

Peneliti keamanan mencoba menilai seberapa serius bug korupsi memori di perpustakaan kompresi data zlib open source yang banyak digunakan, setelah menemukan perbaikan untuk cacat yang dikeluarkan pada tahun 2018 tidak pernah diterapkan.

Peneliti Google Project Zero Tavis Ormandy menemukan minggu lalu bahwa itu mungkin menyebabkan crash yang dapat direproduksi untuk kompresi input dengan zlib versi 1.2.11, karena bug kerusakan memori.

Ormandy menemukan bahwa masalah itu sebenarnya sudah diketahui. Itu diperkenalkan 17 tahun yang lalu di zlib 1.2.2.2, yang menambahkan parameter Z_FIXED untuk memaksa penggunaan pengkodean Huffman tetap, yang digunakan untuk kompresi lossless.

Meskipun bug (ditunjuk CVE-2018-25032) dapat menyebabkan akses di luar batas yang membuat crash aplikasi, perbaikan yang dirilis pada tahun 2018 tidak pernah diterapkan di zlib karena rilis terbaru dari perpustakaan kompresi keluar pada tahun 2017.

Bukti konsep dikembangkan oleh Ormandy, yang bersama dengan peneliti keamanan lainnya saat ini sedang mempertimbangkan tingkat keparahan bug, yang saat ini tampaknya sulit untuk dipicu.

Namun, eksploitasi akan memiliki efek yang luas, mengingat popularitasnya di proyek sumber terbuka lainnya, yang akan membuat pembaruan menjadi sulit.

Halaman manual UNIX untuk zlib(3) mencatat bahwa library kompresi digunakan oleh sejumlah besar aplikasi:

“zlib dibangun dalam banyak bahasa dan sistem operasi, termasuk namun tidak terbatas pada Java, Python, .NET, PHP, Perl, Ruby, Swift, dan Go”.

Peramban web, aplikasi produktivitas Microsoft Office, pemutar media, dan editor gambar juga diketahui menggunakan zlib, yang juga dapat ditemukan di sistem tertanam, sehingga sulit untuk mencari pemutakhiran.

“Mari berharap membersihkan salinan statis lama zlib tidak akan berantakan selama bertahun-tahun yang akan datang,” tulis Ormandy di milis keamanan yang membahas potensi konsekuensi dari bug tersebut.

Versi tetap zlib, 1.2.12, sekarang tersedia, dan pengguna disarankan untuk memperbarui ke versi pustaka kompresi tersebut.

Posted By : pengeluaran hk hari ini 2021