Värskenda kõike: see kriitiline WebP haavatavus mõjutab suuremaid brausereid ja rakendusi

Värskenda kõike: see kriitiline WebP haavatavus mõjutab suuremaid brausereid ja rakendusi
Teiesugused lugejad aitavad MUO-d toetada. Kui teete ostu meie saidil olevate linkide abil, võime teenida sidusettevõtte komisjonitasu. Loe rohkem.

WebP Codecis on avastatud kriitiline haavatavus, mis sunnib suuremaid brausereid turvavärskendusi kiirendama. Samas tähendab sama WebP renderduskoodi laialdane kasutamine ka lugematuid rakendusi, kuni need vabastavad turvapaigad.





MUO päeva video SISUGA JÄTKAMISEKS KERIMISE

Mis on haavatavus CVE-2023-4863? Kui halb see on? Ja mida saate teha?



Mis on WebP CVE-2023-4863 haavatavus?

WebP Codec'i probleem kannab nime CVE-2023-4863. Juur asub WebP renderduskoodi spetsiifilises funktsioonis ('BuildHuffmanTable'), muutes kodeki haavatavaks kuhjapuhver täitub .





Kuhjapuhvri ülekoormus tekib siis, kui programm kirjutab mälupuhvrisse rohkem andmeid, kui see on kavandatud mahutama. Kui see juhtub, võib see kõrvalmälu üle kirjutada ja andmeid rikkuda. Veel hullem, häkkerid saavad süsteemide ülevõtmiseks ära kasutada hunniku puhvri ületäitumist ja seadmed eemalt.

Käsurea liides, mis kuvab pahatahtlikku koodi

Häkkerid saavad sihtida rakendusi, millel on teadaolevalt puhvri ületäitumise haavatavused, ja saata neile pahatahtlikke andmeid. Näiteks võivad nad üles laadida pahatahtliku WebP-pildi, mis juurutab koodi kasutaja seadmesse, kui nad seda brauseris või mõnes muus rakenduses vaatavad.



kuidas gif Instagrami üles laadida

Selline haavatavus, mida kasutatakse koodis nii laialdaselt kui WebP Codec, on tõsine probleem. Peale suuremate brauserite kasutavad lugematud rakendused WebP-piltide renderdamiseks sama kodekit. Praeguses etapis on haavatavus CVE-2023-4863 liiga laialt levinud, et saaksime teada, kui suur see tegelikult on, ja puhastamine saab olema räpane.

Kas minu lemmikbrauseri kasutamine on ohutu?

Jah, enamik suuremaid brausereid on selle probleemi lahendamiseks juba värskendusi välja andnud. Nii kaua, kuni värskendate oma rakendusi uusimale versioonile, saate veebi sirvida nagu tavaliselt. Google, Mozilla, Microsoft, Brave ja Tor on kõik turvapaigad välja andnud ja teised on tõenäoliselt seda juba selle lugemise ajaks teinud.



Selle konkreetse haavatavuse parandusi sisaldavad värskendused on järgmised:

  • Chrome: versioon 116.0.5846.187 (Mac / Linux); versioon 116.0.5845.187/.188 (Windows)
  • Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
  • Edge: Edge versioon 116.0.1938.81
  • Vapper: Brave versioon 1.57.64
  • Tor: Tori brauser 12.5.4

Kui kasutate mõnda muud brauserit, otsige uusimaid värskendusi ja otsige konkreetseid viiteid WebP-s CVE-2023-4863 kuhja puhvri ületäitumise haavatavusele. Näiteks sisaldab Chrome'i värskendusteade järgmist viidet: „Critical CVE-2023-4863: Heap buffer overflow in WebP”.



Chrome'i värskenduste märkused, mis viitavad turvapaigale WebP CVE-2023-4863 haavatavuse jaoks

Kui te ei leia oma lemmikbrauseri uusimast versioonist viidet sellele haavatavusele, minge ülaltoodud versioonile, kuni teie valitud brauseri jaoks väljastatakse parandus.

kui palju spotify maksab kunstnikele 2017

Kas ma saan oma lemmikrakendusi kasutada turvaliselt?

Siin läheb asi keeruliseks. Kahjuks mõjutab CVE-2023-4863 WebP haavatavus ka tundmatut hulka rakendusi. Esiteks mis tahes tarkvara, mis kasutab libwebp teek see haavatavus mõjutab, mis tähendab, et iga teenusepakkuja peab vabastama oma turvapaigad.

Asja keerulisemaks muutmiseks on see haavatavus sisse lülitatud paljudesse populaarsetesse raamistikesse, mida kasutatakse rakenduste loomiseks. Sellistel juhtudel vajavad raamistikud esmalt värskendamist ja seejärel peavad neid kasutavad tarkvarapakkujad oma kasutajate kaitsmiseks värskendama uusimale versioonile. See muudab tavakasutaja jaoks väga keeruliseks teada, milliseid rakendusi see mõjutab ja millised on probleemi lahendanud.

Nagu avastas Alex Ivanovs Stacki päevikust , mõjutatud rakenduste hulka kuuluvad Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice ja Affinity komplekt – paljude teiste hulgas.

1Password on välja andnud värskenduse probleemi lahendamiseks, kuigi selle teadaannete lehel on haavatavuse ID CVE-2023-4863 kirjaviga (lõpetab selle numbriga -36, mitte -63). Apple'il on ka avaldas macOS-i jaoks turvapaiga mis näib lahendavat sama probleemi, kuid see ei viita sellele konkreetselt. Samamoodi Slack andis välja turvavärskenduse 12. septembril (versioon 4.34.119), kuid ei viita CVE-2023-4863.

Värskendage kõike ja jätkake ettevaatlikult

Kasutajana saate CVE-2023-4863 WebP Codexi haavatavuse puhul ainult kõike värskendada. Alustage iga brauseriga, mida kasutate, ja seejärel läbige oma kõige olulisemad rakendused.

Kontrollige kõigi võimalike rakenduste uusimaid versioone ja otsige konkreetseid viiteid CVE-2023-4863 ID-le. Kui te ei leia viimastest väljalaskemärkmetest viiteid sellele haavatavusele, kaaluge turvalisele alternatiivile üleminekut, kuni teie eelistatud rakendus probleemi lahendab. Kui see pole võimalik, kontrollige pärast 12. septembrit välja antud turvavärskendusi ja jätkake värskendamist niipea, kui uued turvapaigad avaldatakse.

See ei taga, et CVE-2023-4863 käsitletakse, kuid see on praegu parim varuvalik.

WebP: hea lahendus koos hoiatava looga

Google käivitas WebP 2010. aastal lahendusena piltide kiiremaks renderdamiseks brauserites ja muudes rakendustes. Vorming pakub kadudeta ja kadudeta pakkimist, mis võib vähendada pildifailide suurust ~30 protsenti, säilitades samal ajal tajutava kvaliteedi.

Jõudluse mõttes on WebP suurepärane lahendus renderdusaegade vähendamiseks. Kuid see on ka hoiatav lugu konkreetse jõudluse aspekti eelistamisest teistele, nimelt turvalisusele. Kui poolik arendus kohtub laialdase kasutuselevõtuga, tekitab see täiusliku tormi allika haavatavuste jaoks. Ja kuna nullpäevade ärakasutamine kasvab, peavad ettevõtted nagu Google oma mängu täiustama või arendajad peavad tehnoloogiaid rohkem kontrollima.