Home-theater-designers
Открита е критична уязвимост в кодека WebP, която принуждава основните браузъри да ускоряват актуализациите на защитата. Въпреки това широкото използване на един и същ WebP код за изобразяване означава, че безброй приложения също са засегнати, докато не пуснат корекции за сигурност.
MUO Видео на деня ПРЕВЪРТЕТЕ, ЗА ДА ПРОДЪЛЖИТЕ СЪС СЪДЪРЖАНИЕТО
И така, каква е уязвимостта на CVE-2023-4863? колко лошо е И какво можете да направите?
Какво представлява уязвимостта на WebP CVE-2023-4863?
Проблемът в кодека WebP е наречен CVE-2023-4863. Коренът се намира в специфична функция на кода за изобразяване на WebP („BuildHuffmanTable“), което прави кодека уязвим на буферът на купчина препълва .
Претоварване на буфера на паметта възниква, когато програма записва повече данни в буфер на паметта, отколкото е предназначен да побере. Когато това се случи, потенциално може да презапише съседна памет и да повреди данните. още по-лошо, хакерите могат да използват препълването на буфера на купчината, за да превземат системите и устройства от разстояние.
Хакерите могат да се насочат към приложения, за които е известно, че имат уязвимости при препълване на буфера, и да им изпратят злонамерени данни. Например, те могат да качат злонамерено WebP изображение, което внедрява код на устройството на потребителя, когато го преглеждат в своя браузър или друго приложение.
Този вид уязвимост, съществуваща в код, толкова широко използван като кодека WebP, е сериозен проблем. Освен основните браузъри, безброй приложения използват един и същ кодек за изобразяване на WebP изображения. На този етап уязвимостта CVE-2023-4863 е твърде широко разпространена, за да знаем колко голяма е в действителност и почистването ще бъде объркано.
Безопасно ли е да използвам любимия си браузър?
Да, повечето основни браузъри вече пуснаха актуализации за справяне с този проблем. Така че, стига да актуализирате приложенията си до най-новата версия, можете да сърфирате в мрежата както обикновено. Google, Mozilla, Microsoft, Brave и Tor са пуснали корекции за сигурност, а други вероятно са го направили, докато четете това.
Актуализациите, съдържащи корекции за тази конкретна уязвимост, са:
ако деактивирам facebook какво се случва с messenger
- Chrome: Версия 116.0.5846.187 (Mac / Linux); версия 116.0.5845.187/.188 (Windows)
- Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
- Ръб, край: Edge версия 116.0.1938.81
- Смел: Смела версия 1.57.64
- Tor: Браузър Tor 12.5.4
Ако използвате различен браузър, проверете за най-новите актуализации и потърсете конкретни препратки към CVE-2023-4863 уязвимост при препълване на буфера на стек в WebP. Например съобщението за актуализация на Chrome включва следната препратка: „Критичен CVE-2023-4863: Препълване на буфера на паметта в WebP“.
Ако не можете да намерите препратка към тази уязвимост в най-новата версия на любимия ви браузър, превключете към един от изброените по-горе, докато не бъде пусната корекция за избрания от вас браузър.
Безопасно ли е да използвам любимите си приложения?
Това е мястото, където става трудно. За съжаление, уязвимостта CVE-2023-4863 WebP също засяга неизвестен брой приложения. Първо, всеки софтуер, използващ библиотеката libwebp е засегнат от тази уязвимост, което означава, че всеки доставчик ще трябва да пусне свои собствени корекции за сигурност.
За да направи нещата по-сложни, тази уязвимост е вградена в много популярни рамки, използвани за изграждане на приложения. В тези случаи първо трябва да се актуализират рамките, а след това доставчиците на софтуер, които ги използват, трябва да актуализират до най-новата версия, за да защитят своите потребители. Това прави много трудно за средния потребител да знае кои приложения са засегнати и кои са адресирали проблема.
Както установиха Алекс Иванов в Stack Diary , засегнатите приложения включват Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice и пакета Affinity — сред много други.
1Password пусна актуализация за справяне с проблема, въпреки че страницата му за обявяване включва печатна грешка за идентификатора на уязвимостта CVE-2023-4863 (завършвайки го с -36, вместо с -63). Apple също има пусна корекция за сигурност за macOS който изглежда разрешава същия проблем, но не го споменава конкретно. по същия начин Slack пусна актуализация за сигурност на 12 септември (версия 4.34.119), но не препраща към CVE-2023-4863.
как да намеря ip адрес на принтерите си
Актуализирайте всичко и продължете внимателно
Като потребител, единственото нещо, което можете да направите относно уязвимостта на CVE-2023-4863 WebP Codex, е да актуализирате всичко. Започнете с всеки браузър, който използвате, и след това преминете през най-важните си приложения.
Проверете най-новите версии за всяко приложение, което можете, и потърсете конкретни препратки към CVE-2023-4863 ID. Ако не можете да намерите препратки към тази уязвимост в най-новите бележки за изданието, помислете за преминаване към защитена алтернатива, докато предпочитаното от вас приложение реши проблема. Ако това не е опция, проверете за актуализации за сигурност, пуснати след 12 септември, и продължете да актуализирате веднага щом бъдат пуснати нови корекции за сигурност.
Това няма да гарантира, че CVE-2023-4863 е адресиран, но това е най-добрият резервен вариант, който имате на този етап.
WebP: Добро решение с предупредителна история
Google стартира WebP през 2010 г. като решение за по-бързо изобразяване на изображения в браузъри и други приложения. Форматът осигурява компресия със загуби и без загуби, която може да намали размера на файловете с изображения с ~30 процента, като същевременно поддържа осезаемо качество.
По отношение на производителността, WebP е чудесно решение за намаляване на времето за изобразяване. Това обаче е и предупредителна история за приоритизирането на конкретен аспект на ефективността пред други – а именно сигурността. Когато полуготовата разработка срещне широко разпространено възприемане, тя създава перфектна буря за уязвимости на източника. И с нарастването на нулевия ден, компании като Google трябва да подобрят играта си или разработчиците ще трябва да изследват технологиите повече.