Egy jelentős biztonsági rés, a CVE-2023-4863, távoli hozzáférést biztosíthat a hackereknek az egész rendszerhez. Íme, mit kell tenni.
A WebP Codec kritikus sérülékenységét fedezték fel, amely arra kényszeríti a nagyobb böngészőket, hogy felgyorsítsák a biztonsági frissítéseket. Ugyanannak a WebP renderelő kódnak a széles körű használata azonban azt jelenti, hogy számtalan alkalmazás is érintett, amíg ki nem adják a biztonsági javításokat.
Tehát mi a CVE-2023-4863 biztonsági rés? Milyen rossz ez? És mit tehetsz?
Mi a WebP CVE-2023-4863 biztonsági rése?
A WebP Codecben lévő probléma neve CVE-2023-4863. A gyökér a WebP renderelő kód egy meghatározott funkciójában található (a „BuildHuffmanTable”), ami sebezhetővé teszi a kodeket a kupac puffer túlcsordul.
A kupacpuffer túlterhelése akkor következik be, amikor egy program több adatot ír a memóriapufferbe, mint amennyit a tárolásra terveztek. Amikor ez megtörténik, potenciálisan felülírhatja a szomszédos memóriát, és megsértheti az adatokat. Még rosszabb,
A hackerek kihasználhatják a kupac puffer túlcsordulásait a rendszerek átvételére és eszközök távolról.A hackerek megcélozhatják azokat az alkalmazásokat, amelyekről ismert, hogy puffertúlcsordulási résekkel rendelkeznek, és rosszindulatú adatokat küldhetnek nekik. Például feltölthetnek egy rosszindulatú WebP-képet, amely kódot telepít a felhasználó eszközére, amikor megtekinti azt a böngészőjében vagy egy másik alkalmazásban.
A WebP Codechez hasonlóan széles körben használt kódban előforduló ilyen típusú biztonsági rés komoly probléma. A főbb böngészőkön kívül számtalan alkalmazás használja ugyanazt a kodeket a WebP-képek megjelenítéséhez. Jelenleg a CVE-2023-4863 biztonsági rés túlságosan elterjedt ahhoz, hogy tudjuk, mekkora is valójában, és a tisztítás rendetlen lesz.
Biztonságos a kedvenc böngészőm használata?
Igen, a legtöbb nagyobb böngésző már kiadott frissítéseket a probléma megoldására. Tehát mindaddig, amíg az alkalmazásait a legújabb verzióra frissíti, a szokásos módon böngészhet az interneten. A Google, a Mozilla, a Microsoft, a Brave és a Tor mind kiadott biztonsági javításokat, és valószínűleg mások is megtették ezt, mire Ön ezt olvassa.
Az erre a biztonsági résre vonatkozó javításokat tartalmazó frissítések a következők:
- Króm: 116.0.5846.187 verzió (Mac / Linux); 116.0.5845.187/.188 verzió (Windows)
- Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
- Él: Edge verzió 116.0.1938.81
- Bátor: Brave verzió 1.57.64
- Tor: Tor böngésző 12.5.4
Ha másik böngészőt használ, ellenőrizze a legújabb frissítéseket, és keressen konkrét hivatkozásokat a WebP CVE-2023-4863 kupacpuffer túlcsordulási sebezhetőségére. Például a Chrome frissítési közleménye a következő hivatkozást tartalmazza: „Kritikus CVE-2023-4863: Heap puffer overflow in WebP”.
Ha nem talál hivatkozást erre a biztonsági résre kedvenc böngészője legújabb verziójában, váltson a fent felsorolt valamelyikre, amíg ki nem adják a javítást az Ön által választott böngészőhöz.
Biztonságosan használhatom kedvenc alkalmazásaimat?
Itt válik trükkössé. Sajnos a CVE-2023-4863 WebP biztonsági rése ismeretlen számú alkalmazást is érint. Először is, bármilyen szoftvert használ a libwebp könyvtár érinti ez a biztonsági rés, ami azt jelenti, hogy minden szolgáltatónak ki kell adnia saját biztonsági javításait.
A helyzet bonyolultabbá tétele érdekében ez a sérülékenység számos népszerű, alkalmazások készítésére használt keretrendszerben megtalálható. Ezekben az esetekben először a keretrendszereket kell frissíteni, majd az azokat használó szoftverszolgáltatóknak frissíteniük kell a legújabb verzióra a felhasználók védelme érdekében. Ez nagyon megnehezíti az átlagos felhasználó számára, hogy tudja, mely alkalmazások érintettek, és melyek kezelték a problémát.
Az érintett alkalmazások közé tartozik a Microsoft Teams, a Slack, a Skype, a Discord, a Telegram, az 1Password, a Signal, a LibreOffice és az Affinity csomag – sok más mellett.
Az 1Password frissítést adott ki a probléma megoldására, bár a bejelentési oldalon a CVE-2023-4863 sebezhetőségi azonosító elírása szerepel (-63 helyett -36-ra végződik). Az Apple-nek is van kiadott egy biztonsági javítást a macOS rendszerhez amely úgy tűnik, hogy megoldja ugyanazt a problémát, de nem hivatkozik rá konkrétan. Hasonlóképpen, A Slack biztonsági frissítést adott ki szeptember 12-én (4.34.119-es verzió), de nem hivatkozik a CVE-2023-4863-ra.
Frissítsen mindent, és járjon el óvatosan
Felhasználóként csak annyit tehet a CVE-2023-4863 WebP Codex sebezhetőség ellen, hogy mindent frissít. Kezdje az összes használt böngészővel, majd haladjon végig a legfontosabb alkalmazásokon.
Tekintse meg minden lehetséges alkalmazás legújabb verzióját, és keressen konkrét hivatkozásokat a CVE-2023-4863 azonosítóra. Ha nem talál hivatkozást erre a sérülékenységre a legújabb kiadási megjegyzésekben, fontolja meg egy biztonságos alternatívára való váltást, amíg a kívánt alkalmazás meg nem oldja a problémát. Ha ez nem lehetséges, ellenőrizze a szeptember 12. után kiadott biztonsági frissítéseket, és folytassa a frissítést, amint új biztonsági javítások jelennek meg.
Ez nem garantálja, hogy a CVE-2023-4863 probléma megoldásra kerül, de jelenleg ez a legjobb tartalék lehetőség.
WebP: Finom megoldás egy figyelmeztető mesével
A Google 2010-ben indította el a WebP-t, hogy megoldást nyújtson a képek gyorsabb megjelenítésére a böngészőkben és más alkalmazásokban. A formátum veszteséges és veszteségmentes tömörítést biztosít, amely ~30 százalékkal csökkentheti a képfájlok méretét, miközben megőrzi az érzékelhető minőséget.
Teljesítmény szempontjából a WebP remek megoldás a renderelési idők csökkentésére. Mindazonáltal ez egy figyelmeztető mese is a teljesítmény egy bizonyos aspektusának másokkal szembeni előtérbe helyezéséről – nevezetesen a biztonságról. Amikor a félkész fejlesztés találkozik a széles körű elterjedéssel, tökéletes vihart kelt a forrás sérülékenysége számára. És a nulladik napi kihasználások növekedésével az olyan vállalatoknak, mint a Google, javítaniuk kell játékaikat, különben a fejlesztőknek jobban át kell vizsgálniuk a technológiákat.
