Lỗ hổng YahooBleed là giọt nước tràn ly khiến Yahoo khai tử ImageMagick
Theo Thehackernews, nhà nghiên cứu bảo mật Chris Evans đã phát hiện và công bố công khai lỗ hổng bảo mật Yahoobleed trên blog cá nhân. Evans mô tả YahooBleed#1 (YB1) là cách để tin tặc truy cập tập tin đính kèm trong Yahoo Mail của nạn nhân từ máy chủ Yahoo.
YB1 khai thác một lỗ hổng có trong ImageMagick - một thư viện xử lý ảnh mã nguồn mở cho phép người dùng thay đổi kích cỡ, cắt xén, làm mờ hay chỉnh sửa hình ảnh. Nó được hỗ trợ bởi PHP, Python, Ruby, Perl, C ++ và nhiều ngôn ngữ lập trình khác. Thư viện xử lý hình ảnh phổ biến này được quan tâm vào năm ngoái khi liên quan đến lỗ hổng zero-day mang tên ImageTragick, cho phép hacker truyền mã độc hại trên máy chủ web bằng cách tải lên hình ảnh được chứa mã độc.
Không giống như các sự cố rò rỉ thông tin người dùng như Heartbleed và Cloudbleed trước đó, Evans nói rằng Yahoobleed sử dụng phân vùng bộ nhớ chưa kích hoạt, nơi một bộ đệm giải mã hình ảnh trước khi hiển thị trở lại khách hàng, gây rò rỉ bộ nhớ phía máy chủ.
Để chứng minh nghiên cứu, Evans đã chèn mã khai thác 18 byte vào một tập tin và đính kèm trong email gửi đến email của chính mình. Khi tệp đính kèm hình ảnh được nhấp, nó sẽ khởi chạy ô xem trước hình ảnh, cho phép dịch vụ hiển thị phần hình ảnh vẫn còn tồn tại trong bộ nhớ máy chủ thay vì ảnh gốc. Giải thích nguyên nhân vấn đề, Evans cho rằng hình ảnh JPEG hiển thị trên trình duyệt dựa trên bộ nhớ chưa kích hoạt hoặc đã giải phóng trước đó.
Theo Evans, lỗ hổng này nằm ở định dạng hình ảnh RLE (Utah Raster Toolkit Run Length Encoded). Một kẻ tấn công chỉ đơn giản tạo ra một hình ảnh RLE thủ công, gửi nó và tạo ra một vòng lặp của các lệnh giao thức rỗng khiến thông tin bị rò rỉ ra ngoài.
Sau khi Evans thông báo lỗ hổng đến Yahoo, gã khổng lồ công nghệ này đã đưa ra quyết định cho “về vườn” thư viện nguồn mở ImageMagick nhằm tránh bất kỳ lỗ hổng bảo mật khác trong tương lai gây ảnh hưởng đến người sử dụng.
Evans đã nhận được khoản tiền thưởng trị giá 14.000 USD từ Yahoo do giúp phát hiện lỗ hổng ImageMagick. Tuy nhiên, giá trị giải thưởng đã được Yahoo tăng gấp đôi lên 28.000 USD sau khi biết Evans có nhã ý mang số tiền nhận được đi làm từ thiện.