Didelis pažeidžiamumas, CVE-2023-4863, gali suteikti įsilaužėliams nuotolinę prieigą prie visos jūsų sistemos. Štai ką daryti.

Aptiktas svarbus WebP kodeko pažeidžiamumas, priversdamas pagrindines naršykles sparčiau ieškoti saugos naujinimų. Tačiau plačiai paplitęs to paties WebP atvaizdavimo kodo naudojimas reiškia, kad įtakos turi ir daugybė programų, kol jos išleidžia saugos pataisas.

Taigi, kas yra CVE-2023-4863 pažeidžiamumas? Kaip blogai? Ir ką tu gali?

Kas yra WebP CVE-2023-4863 pažeidžiamumas?

Problema WebP kodeke pavadinta CVE-2023-4863. Šaknis yra konkrečioje WebP atvaizdavimo kodo funkcijoje ("BuildHuffmanTable"), todėl kodekas yra pažeidžiamas krūvos buferis perpildo.

Krūvos buferio perkrova įvyksta, kai programa į atminties buferį įrašo daugiau duomenų, nei ji skirta laikyti. Kai taip atsitiks, ji gali perrašyti gretimą atmintį ir sugadinti duomenis. Dar blogiau, įsilaužėliai gali išnaudoti krūvos buferio perpildymą, kad perimtų sistemas ir įrenginius nuotoliniu būdu.

Įsilaužėliai gali taikyti programas, kuriose yra buferio perpildymo spragų, ir siųsti joms kenkėjiškus duomenis. Pavyzdžiui, jie gali įkelti kenkėjišką WebP vaizdą, kuris diegia kodą vartotojo įrenginyje, kai jis peržiūri jį savo naršyklėje ar kitoje programoje.

instagram viewer

Toks pažeidžiamumas, esantis kode, taip plačiai naudojamas kaip WebP kodekas, yra rimta problema. Be pagrindinių naršyklių, daugybė programų naudoja tą patį kodeką WebP vaizdams pateikti. Šiame etape pažeidžiamumas CVE-2023-4863 yra per plačiai paplitęs, kad žinotume, kokio dydžio jis iš tikrųjų yra, ir išvalymas bus nepatogus.

Ar saugu naudoti mano mėgstamiausią naršyklę?

Taip, dauguma pagrindinių naršyklių jau išleido naujinimus, kad išspręstų šią problemą. Taigi, kol atnaujinate savo programas į naujausią versiją, galite naršyti internete kaip įprasta. „Google“, „Mozilla“, „Microsoft“, „Brave“ ir „Tor“ išleido saugos pataisas, o kiti tikriausiai tai padarė, kol jūs tai skaitote.

Atnaujinimai, kuriuose yra šio konkretaus pažeidžiamumo pataisymų, yra šie:

  • Chrome: 116.0.5846.187 versija („Mac“ / „Linux“); versija 116.0.5845.187 / .188 („Windows“)
  • Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
  • Kraštas: Edge versija 116.0.1938.81
  • Drąsus: Drąsi versija 1.57.64
  • Tor: „Tor“ naršyklė 12.5.4

Jei naudojate kitą naršyklę, patikrinkite, ar nėra naujausių naujinimų, ir ieškokite konkrečių nuorodų į CVE-2023-4863 krūvos buferio perpildymo spragą WebP. Pavyzdžiui, „Chrome“ naujinimo pranešime yra ši nuoroda: „Kritinis CVE-2023-4863: krūvos buferio perpildymas WebP“.

Jei nerandate nuorodos į šį pažeidžiamumą naujausioje mėgstamos naršyklės versijoje, perjunkite į anksčiau pateiktą, kol bus išleistas pasirinktos naršyklės pataisymas.

Ar saugu naudoti savo mėgstamiausias programas?

Čia tampa sudėtinga. Deja, CVE-2023-4863 WebP pažeidžiamumas taip pat paveikia nežinomą skaičių programų. Pirma, bet kokia programinė įranga libwebp biblioteka yra paveiktas šio pažeidžiamumo, o tai reiškia, kad kiekvienas teikėjas turės išleisti savo saugos pataisas.

Kad reikalai būtų dar sudėtingesni, šis pažeidžiamumas įtrauktas į daugelį populiarių sistemų, naudojamų programoms kurti. Tokiais atvejais pirmiausia reikia atnaujinti sistemas, o tada jas naudojantys programinės įrangos tiekėjai turi atnaujinti į naujausią versiją, kad apsaugotų savo vartotojus. Dėl to paprastam vartotojui labai sunku žinoti, kurios programos yra paveiktos ir kurios išsprendė problemą.

Paveiktos programos apima „Microsoft Teams“, „Slack“, „Skype“, „Discord“, „Telegram“, „1Password“, „Signal“, „LibreOffice“ ir „Affinity“ rinkinį – tarp daugybės kitų.

1Password išleido atnaujinimą problemai išspręsti, nors jo pranešimų puslapyje yra CVE-2023-4863 pažeidžiamumo ID rašybos klaida (kuris baigiasi -36, o ne -63). „Apple“ taip pat turi išleido „macOS“ saugos pataisą atrodo, kad išsprendžia tą pačią problemą, tačiau jame konkrečiai nenurodoma. Taip pat, „Slack“ išleido saugos naujinimą rugsėjo 12 d. (4.34.119 versija), bet nenurodo CVE-2023-4863.

Atnaujinkite viską ir elkitės atsargiai

Kaip vartotojas, vienintelis dalykas, kurį galite padaryti dėl CVE-2023-4863 WebP Codex pažeidžiamumo, yra atnaujinti viską. Pradėkite nuo kiekvienos naudojamos naršyklės, tada peržiūrėkite svarbiausias programas.

Patikrinkite naujausias kiekvienos galimos programos leidimo versijas ir ieškokite konkrečių nuorodų į CVE-2023-4863 ID. Jei nerandate nuorodų į šį pažeidžiamumą naujausiose leidimo pastabose, apsvarstykite galimybę pereiti prie saugios alternatyvos, kol jūsų pageidaujama programa išspręs problemą. Jei tai nėra parinktis, patikrinkite, ar nėra saugos naujinimų, išleistų po rugsėjo 12 d., ir atnaujinkite, kai tik bus išleistos naujos saugos pataisos.

Tai negarantuoja, kad CVE-2023-4863 bus išspręstas, tačiau šiuo metu tai yra geriausia alternatyva.

WebP: puikus sprendimas su įspėjamu pasakojimu

„Google“ 2010 m. pristatė „WebP“ kaip sprendimą, leidžiantį greičiau pateikti vaizdus naršyklėse ir kitose programose. Formatas užtikrina nuostolingą ir be nuostolių glaudinimą, kuris gali sumažinti vaizdo failų dydį ~ 30 procentų, išlaikant juntamą kokybę.

Kalbant apie našumą, WebP yra puikus sprendimas atvaizdavimo laikui sumažinti. Tačiau tai taip pat įspėjamasis pasakojimas, kad pirmenybė teikiama konkrečiam veiklos aspektui, o ne kitiems, būtent saugumui. Kai nebaigta plėtra susiduria su plačiai paplitusiu pritaikymu, ji sukuria puikią audrą šaltinio pažeidžiamumui. Be to, didėjant nulinės dienos eksploatavimui, tokios įmonės kaip „Google“ turi tobulinti savo žaidimus arba kūrėjai turės atidžiau tikrinti technologijas.