H26Forge: Mehrheit der Video-Decoder wohl systematisch angreifbar

Immer wieder sorgen Bugs in Video-Decodern für Sicherheitslücken bis hin zu Zero Days. Wissenschaftler zeigen nun eine riesige Angriffsfläche.

Artikel veröffentlicht am ,
Moderne Smartphone-SoCs wie Apples A16 setzen auf Hardware-Video-Decoder.
Moderne Smartphone-SoCs wie Apples A16 setzen auf Hardware-Video-Decoder. (Bild: Apple/Screenshot:Golem.de)

Video-Decoder in modernen Betriebssystemen sind beliebte Angriffsziele, da Videos etwa auf Smartphones teils automatisch abgespielt werden. Darüber hinaus haben die Decoder dank ihrer Hardwarebeschleuniger und dazugehöriger Treiber oft auch weitgehende Systemberechtigungen.

Daher werden dafür auch Exploits geschrieben, die als sogenannter Zero Day ausgenutzt werden, etwa die Lücke mit der ID CVE-2022-22675 in Apples iOS. Ein Forschungsteam hat diese Schwachstellen systematisch untersucht und dabei weitere schwerwiegende Fehler gefunden (PDF).

Grundlage der Arbeiten von Willy R. Vasquez, Stephen Checkoway und Hovav Shacham ist eine Infrastruktur- und Analyseplattform, die sie H26Forge nennen. Damit gelang es den Forschern erstmals systematisch, syntaktisch korrekte Videodateien für den H.264-Codec zu erstellen, die aber semantisch nicht standardkonform sind und so ein unübliches Verhalten aufweisen. Das wiederum ermöglicht leichter als bisher die Suche nach Fehlern in der Umsetzung der Hardware-Decoder und ihrer Treiber.

Fehlersuche mit automatisiert kaputten Videodateien

Bisher mussten Videodateien oft manuell und vor allem bitweise manipuliert werden, wie das Forscherteam mit Bezug auf die erwähnte iOS-Lücke und eine Analyse durch Natalie Silvanovich von Googles Project Zero erklärte. Mithilfe von H26Forge ist dies aber wohl nicht mehr notwendig, da Videodateien damit systematisch und automatisiert manipuliert werden können.

Da bestehende Werkzeuge zum Umgang mit Videos und Codecs dieser Aufgabe nicht gewachsen sind, entschied sich das Team zu einer vollständigen Neuimplementierung. Diese nutzt den Angaben zufolge etwa 30.000 Zeilen Rust-Code und ein Python-Backend zum Scripting. Der Code soll parallel zu einem Vortrag im August diesen Jahres auf der Usenix-Securitykonferenz bereitgestellt werden.

Mithilfe von H26Forge fand das Team unter anderem Fehler in Firefox und Libavcodec, der Codec-Bibliothek von FFMpeg und VLC. Darüber hinaus konnten Fehler in iOS nachgestellt und neue gefunden werden, ebenso wie in verschiedenen Android-SoCs. Für die gefundenen Fehler könnten mit dem Werkzeug zudem schnell Exploits erstellt werden, erklärten die Forscher.

Das Team zieht daraus den Schluss, dass moderne Fuzzing-Techniken die Decoder-Infrastruktur nicht verbessert haben und auch Sandbox-Anstrengungen durch Fehler in Treibern und der Hardwareumsetzung unterlaufen werden. Empfohlen wird zudem, die Parsing-Software in Sprachen mit Speichersicherheit zu schreiben, um die typischen Fehler zu vermeiden, die für Exploits genutzt werden können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
artikel-bild
Chromium Fork
Carbonyl ist ein grafischer Web-Browser im Linux-Terminal
artikel-bild
Snapdragon
Qualcomm macht Patente an AV1 geltend
artikel-bild
Videolan
Freier AV1-Decoder Dav1d erreicht Version 1.0
Meistgelesen
artikel-bild
Blizzard
Erste Wertungen für Diablo 4 sind da
artikel-bild
Endzeit
Experten warnen vor der Ausrottung der Menschheit durch KI
artikel-bild
Künstliche Intelligenz
So funktionieren KI-Bildgeneratoren
Kommentarübersicht
Re: Noch ein Argument für Adblocker
KlugKacka 29. Mär 2023

Der Browser hat die Werbung nicht angefordert. Die wird einfach mit ausgeliefert. Wenn...

Na da bin ich aber froh
Nore Ply 29. Mär 2023

...das mein 2016er Panasonic TV sein Mikrofon noch nicht im Gerät sondern nur in der...

Re: Wäre schön wenn sich Autoplay deaktivieren liesse
DieTatsaechlich... 29. Mär 2023

Bei Firefox gehts auch ganz normal in den Einstellungen abzustellen. (Klar, wenn man so...

Aktuell auf der Startseite von Golem.de
Endzeit
Experten warnen vor der Ausrottung der Menschheit durch KI

Unternehmen wie Microsoft, Google und OpenAI stehen hinter einer sehr drastischen Stellungnahme. Die warnt vor der Auslöschung durch KI.

Endzeit: Experten warnen vor der Ausrottung der Menschheit durch KI
Artikel
  1. Blizzard: Erste Wertungen für Diablo 4 sind da
    Blizzard
    Erste Wertungen für Diablo 4 sind da

    Gamer stehen vor einem Großereignis: Blizzard veröffentlicht bald Diablo 4. Nun gibt es erste Wertungen der Fachpresse.

  2. Apple: iPhone 15 soll mit USB-C und neuem Mute-Button kommen
    Apple
    iPhone 15 soll mit USB-C und neuem Mute-Button kommen

    Erste Dummys der kommenden iPhone-15-Reihe verraten bereits ein paar interessante kleinere Details - der Mute-Button etwa wird ersetzt.

  3. Künstliche Intelligenz: So funktionieren KI-Bildgeneratoren
    Künstliche Intelligenz
    So funktionieren KI-Bildgeneratoren

    Im Netz wimmelt es mittlerweile von künstlich erzeugten Bildern reitender Astronauten, skateboardfahrender Teddys oder stylish gekleideter Päpste. Aber wie machen Dall-E, Stable Diffusion & Co. das eigentlich?
    Von Helmut Linde

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MindStar: 14 Grafikkarten im Sale • Logitech G Pro Wireless Maus 89€ • Amazon-Geräte für Alexa bis -50% • The A500 Mini 74,99€ • Logitech G213 Prodigy Tastatur 49,90€ • Crucial P5 Plus (PS5-komp.) 1TB 71,99€, 2TB 133,99€ • HyperX Cloud II Headset 62,99€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /