O vulnerabilitate majoră, CVE-2023-4863, poate oferi hackerilor acces de la distanță la întregul sistem. Iată ce trebuie făcut.

A fost descoperită o vulnerabilitate critică în Codec-ul WebP, forțând browserele majore să accelereze actualizările de securitate. Cu toate acestea, utilizarea pe scară largă a aceluiași cod de randare WebP înseamnă că nenumărate aplicații sunt, de asemenea, afectate, până când eliberează corecții de securitate.

Deci, care este vulnerabilitatea CVE-2023-4863? Cât de rău este? Si ce poti sa faci?

Ce este vulnerabilitatea WebP CVE-2023-4863?

Problema din WebP Codec a fost denumită CVE-2023-4863. Rădăcina se află într-o funcție specifică a codului de redare WebP („BuildHuffmanTable”), făcând codecul vulnerabil la buffer-ul heap se depășește.

O supraîncărcare a memoriei tampon are loc atunci când un program scrie mai multe date într-un tampon de memorie decât este proiectat să rețină. Când se întâmplă acest lucru, poate suprascrie memoria adiacentă și poate deteriora datele. Mai rău încă,

instagram viewer
hackerii pot exploata depășirile buffer-ului heap pentru a prelua sistemele și dispozitive de la distanță.

Hackerii pot viza aplicațiile despre care se știe că au vulnerabilități de depășire a tamponului și le pot trimite date rău intenționate. De exemplu, ar putea încărca o imagine WebP rău intenționată care implementează cod pe dispozitivul utilizatorului atunci când îl vizualizează în browserul său sau în altă aplicație.

Acest tip de vulnerabilitate existentă în cod la fel de utilizat pe scară largă precum Codec-ul WebP este o problemă serioasă. În afară de browserele majore, nenumărate aplicații folosesc același codec pentru a reda imaginile WebP. În această etapă, vulnerabilitatea CVE-2023-4863 este prea răspândită pentru ca noi să știm cât de mare este cu adevărat și curățarea va fi dezordonată.

Este sigur să utilizați browserul meu preferat?

Da, majoritatea browserelor majore au lansat deja actualizări pentru a rezolva această problemă. Deci, atâta timp cât actualizați aplicațiile la cea mai recentă versiune, puteți naviga pe web ca de obicei. Google, Mozilla, Microsoft, Brave și Tor au lansat toate corecțiile de securitate, iar alții probabil au făcut-o până când citiți acest lucru.

Actualizările care conțin remedieri pentru această vulnerabilitate specifică sunt:

  • Crom: Versiunea 116.0.5846.187 (Mac / Linux); versiunea 116.0.5845.187/.188 (Windows)
  • Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
  • Margine: Versiunea Edge 116.0.1938.81
  • Curajos: Versiunea Brave 1.57.64
  • Tor: Browser Tor 12.5.4

Dacă utilizați un browser diferit, verificați cele mai recente actualizări și căutați referințe specifice la vulnerabilitatea de depășire a memoriei tampon CVE-2023-4863 în WebP. De exemplu, anunțul de actualizare Chrome include următoarea referință: „Critical CVE-2023-4863: Heap buffer overflow in WebP”.

Dacă nu puteți găsi o referință la această vulnerabilitate în cea mai recentă versiune a browserului dvs. favorit, comutați la una enumerată mai sus până când este lansată o remediere pentru browserul dvs. preferat.

Pot folosi în siguranță aplicațiile mele preferate?

Aici devine complicat. Din păcate, vulnerabilitatea CVE-2023-4863 WebP afectează și un număr necunoscut de aplicații. În primul rând, orice software care folosește biblioteca libwebp este afectat de această vulnerabilitate, ceea ce înseamnă că fiecare furnizor va trebui să-și elibereze propriile corecții de securitate.

Pentru a complica lucrurile, această vulnerabilitate este inclusă în multe cadre populare utilizate pentru a construi aplicații. În aceste cazuri, cadrele trebuie mai întâi actualizate și, apoi, furnizorii de software care le folosesc trebuie să se actualizeze la cea mai recentă versiune pentru a-și proteja utilizatorii. Acest lucru face foarte dificil pentru utilizatorul obișnuit să știe care aplicații sunt afectate și care au rezolvat problema.

Aplicațiile afectate includ Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice și suita Affinity — printre multe altele.

1Password a lansat o actualizare pentru a rezolva problema, deși pagina sa de anunț include o greșeală de tipar pentru ID-ul vulnerabilității CVE-2023-4863 (terminând-o cu -36, în loc de -63). Apple are, de asemenea a lansat un patch de securitate pentru macOS care pare să rezolve aceeași problemă, dar nu o face referire în mod specific. De asemenea, Slack a lansat o actualizare de securitate pe 12 septembrie (versiunea 4.34.119), dar nu face referire la CVE-2023-4863.

Actualizați totul și procedați cu atenție

Ca utilizator, singurul lucru pe care îl puteți face cu privire la vulnerabilitatea CVE-2023-4863 WebP Codex este să actualizați totul. Începeți cu fiecare browser pe care îl utilizați, apoi parcurgeți-vă cele mai importante aplicații.

Verificați cele mai recente versiuni de lansare pentru fiecare aplicație pe care o puteți și căutați referințe specifice la ID-ul CVE-2023-4863. Dacă nu puteți găsi referințe la această vulnerabilitate în cele mai recente note de lansare, luați în considerare trecerea la o alternativă sigură până când aplicația dvs. preferată abordează problema. Dacă aceasta nu este o opțiune, verificați dacă există actualizări de securitate lansate după 12 septembrie și continuați actualizarea de îndată ce sunt lansate noi corecții de securitate.

Acest lucru nu va garanta că CVE-2023-4863 este abordat, dar este cea mai bună opțiune de rezervă pe care o aveți în acest moment.

WebP: O soluție bună cu o poveste avertizatoare

Google a lansat WebP în 2010 ca o soluție pentru redarea mai rapidă a imaginilor în browsere și alte aplicații. Formatul oferă compresie cu pierderi și fără pierderi care poate reduce dimensiunea fișierelor de imagine cu ~30 la sută, menținând în același timp calitatea perceptibilă.

Din punct de vedere al performanței, WebP este o soluție excelentă pentru reducerea timpilor de randare. Cu toate acestea, este, de asemenea, o poveste de avertizare privind prioritizarea unui aspect specific al performanței față de alții - și anume, securitatea. Când dezvoltarea pe jumătate se întâlnește cu adoptarea pe scară largă, creează o furtună perfectă pentru vulnerabilitățile sursei. Și, cu exploatările zero-day în creștere, companii precum Google trebuie să-și îmbunătățească jocul sau dezvoltatorii vor trebui să examineze mai mult tehnologiile.