Vulnerabilidad en Quill de anchore (CVE-2026-31961)

Quill proporciona firma binaria de mac y notarización simples desde cualquier plataforma. Quill antes de la versión v0.7.1 contiene una vulnerabilidad de asignación de memoria ilimitada al analizar binarios Mach-O. La explotación requiere que Quill procese un binario Mach-O proporcionado por un atacante, lo cual es más probable en entornos como pipelines de CI/CD, servicios de firma compartidos o cualquier flujo de trabajo donde se acepten binarios enviados externamente para la firma. Al analizar un binario Mach-O, Quill lee varios campos de tamaño y recuento del comando de carga LC_CODE_SIGNATURE y estructuras de firma de código incrustadas (SuperBlob, BlobIndex) y los usa para asignar búferes de memoria sin validar que los valores sean razonables o consistentes con el tamaño real del archivo. Los campos afectados incluyen DataSize, DataOffset y Size del comando de carga, Count del encabezado SuperBlob y Length de los encabezados de blobs individuales. Un atacante puede crear un binario Mach-O malicioso mínimo (~4KB) con valores extremadamente grandes en estos campos, lo que hace que Quill intente asignar memoria excesiva. Esto lleva al agotamiento de la memoria y a la denegación de servicio, lo que podría bloquear el proceso anfitrión. Tanto la CLI de Quill como la biblioteca de Go se ven afectadas cuando se usan para analizar archivos Mach-O no confiables. Esta vulnerabilidad se corrige en 0.7.1.