Home-theater-designers
Odkrita je bila kritična ranljivost v kodeku WebP, ki je glavne brskalnike prisilila k hitri varnostni posodobitvi. Vendar široka uporaba iste kode upodabljanja WebP pomeni, da je prizadetih tudi nešteto aplikacij, dokler ne izdajo varnostnih popravkov.
MUO Video dneva POmaknite se ZA NADALJEVANJE Z VSEBINO
Kaj je torej ranljivost CVE-2023-4863? Kako slabo je? In kaj lahko narediš?
Kaj je ranljivost WebP CVE-2023-4863?
Težava v kodeku WebP je bila poimenovana CVE-2023-4863. Koren je v določeni funkciji kode upodabljanja WebP (»BuildHuffmanTable«), zaradi česar je kodek ranljiv za prelivanje medpomnilnika kopice .
Do preobremenitve vmesnega pomnilnika kopice pride, ko program v pomnilniški vmesni pomnilnik zapiše več podatkov, kot je predvideno. Ko se to zgodi, lahko potencialno prepiše sosednji pomnilnik in poškoduje podatke. Še huje, hekerji lahko izkoristijo prelivanje medpomnilnika kopice za prevzem sistemov in naprave na daljavo.
Hekerji lahko ciljajo na aplikacije, za katere je znano, da imajo ranljivost prekoračitve medpomnilnika, in jim pošljejo zlonamerne podatke. Na primer, lahko naložijo zlonamerno sliko WebP, ki uvede kodo v uporabnikovi napravi, ko si jo ogleda v brskalniku ali drugi aplikaciji.
Tovrstna ranljivost, ki obstaja v kodi, ki se tako pogosto uporablja kot kodek WebP, je resna težava. Poleg večjih brskalnikov nešteto aplikacij uporablja isti kodek za upodabljanje slik WebP. Na tej stopnji je ranljivost CVE-2023-4863 preveč razširjena, da bi vedeli, kako velika je v resnici, in čiščenje bo neurejeno.
Ali je varno uporabljati moj najljubši brskalnik?
Da, večina večjih brskalnikov je že izdala posodobitve za odpravo te težave. Torej, dokler posodobite svoje aplikacije na najnovejšo različico, lahko brskate po spletu kot običajno. Google, Mozilla, Microsoft, Brave in Tor so vsi izdali varnostne popravke in drugi so to verjetno storili, ko berete to.
Posodobitve, ki vsebujejo popravke za to posebno ranljivost, so:
- Chrome: Različica 116.0.5846.187 (Mac / Linux); različica 116.0.5845.187/.188 (Windows)
- Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
- Rob: Različica Edge 116.0.1938.81
- Pogumen: Brave različica 1.57.64
- Tor: Brskalnik Tor 12.5.4
Če uporabljate drug brskalnik, preverite, ali so na voljo najnovejše posodobitve, in poiščite posebne reference na ranljivost prelivanja medpomnilnika kopice CVE-2023-4863 v WebP. Chromovo obvestilo o posodobitvi na primer vključuje to referenco: »Kritično CVE-2023-4863: Prekoračitev medpomnilnika kopice v WebP«.
Če v najnovejši različici svojega priljubljenega brskalnika ne najdete sklicevanja na to ranljivost, preklopite na enega od zgoraj navedenih, dokler ne bo izdan popravek za vaš izbrani brskalnik.
Ali lahko varno uporabljam svoje priljubljene aplikacije?
Tukaj postane težavno. Na žalost ranljivost CVE-2023-4863 WebP vpliva tudi na neznano število aplikacij. Prvič, uporaba katere koli programske opreme knjižnica libwebp je prizadet zaradi te ranljivosti, kar pomeni, da bo moral vsak ponudnik izdati lastne varnostne popravke.
Da bi bile stvari še bolj zapletene, je ta ranljivost vključena v številna priljubljena ogrodja, ki se uporabljajo za izdelavo aplikacij. V teh primerih je treba najprej posodobiti okvire, nato pa jih morajo ponudniki programske opreme, ki jih uporabljajo, posodobiti na najnovejšo različico, da zaščitijo svoje uporabnike. Zaradi tega povprečni uporabnik zelo težko ve, katere aplikacije so prizadete in katere so odpravile težavo.
Kot je odkril Alex Ivanovs na Stack Diary , prizadete aplikacije vključujejo Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice in zbirko Affinity—med mnogimi drugimi.
1Password je izdal posodobitev za odpravo težave, čeprav njegova stran z obvestilom vključuje tipkarsko napako za ID ranljivosti CVE-2023-4863 (konča se z -36 namesto z -63). Apple ima tudi izdal varnostni popravek za macOS zdi se, da rešuje isto težavo, vendar se nanjo ne sklicuje posebej. prav tako Slack je izdal varnostno posodobitev 12. septembra (različica 4.34.119), vendar se ne sklicuje na CVE-2023-4863.
kako popraviti žal so se storitve google play ustavile
Posodobite vse in previdno nadaljujte
Kot uporabnik je edina stvar, ki jo lahko storite glede ranljivosti CVE-2023-4863 WebP Codex, posodobitev vsega. Začnite z vsakim brskalnikom, ki ga uporabljate, nato pa se prebijajte skozi najpomembnejše aplikacije.
Preverite najnovejše različice izdaje za vsako aplikacijo in poiščite posebne reference za ID CVE-2023-4863. Če v najnovejših opombah ob izdaji ne najdete omembe te ranljivosti, razmislite o prehodu na varno alternativo, dokler vaša priljubljena aplikacija ne odpravi težave. Če to ni možnost, preverite, ali so bile izdane varnostne posodobitve po 12. septembru, in posodabljajte takoj, ko bodo izdani novi varnostni popravki.
To ne zagotavlja, da je CVE-2023-4863 obravnavan, vendar je to najboljša nadomestna možnost, ki jo imate na tej točki.
WebP: odlična rešitev s svarilom
Google je leta 2010 predstavil WebP kot rešitev za hitrejše upodabljanje slik v brskalnikih in drugih aplikacijah. Format zagotavlja stiskanje z izgubami in brez izgub, ki lahko zmanjša velikost slikovnih datotek za ~30 odstotkov, hkrati pa ohranja zaznavno kakovost.
Kar zadeva zmogljivost, je WebP dobra rešitev za skrajšanje časa upodabljanja. Vendar pa je to tudi opozorilna zgodba o dajanju prednosti določenemu vidiku delovanja pred drugimi – namreč varnosti. Ko polovičen razvoj naleti na široko sprejetje, ustvari popolno nevihto za izvorne ranljivosti. In z naraščanjem izkoriščanja ničelnega dne morajo podjetja, kot je Google, izboljšati svojo igro ali pa bodo morali razvijalci bolj natančno preučiti tehnologije.