Home-theater-designers
Ir atklāta kritiska WebP Codec ievainojamība, kas liek lielākajām pārlūkprogrammām paātrināt drošības atjauninājumus. Tomēr viena un tā paša WebP renderēšanas koda plaši izplatīta izmantošana nozīmē, ka tiek ietekmētas arī neskaitāmas lietotnes, līdz tās izlaiž drošības ielāpus.
MUO dienas video RITINĀT, LAI TURPINĀTU AR SATURU
Tātad, kas ir CVE-2023-4863 ievainojamība? Cik slikti tas ir? Un ko tu vari?
Kas ir WebP CVE-2023-4863 ievainojamība?
Problēma WebP kodekā ir nosaukta CVE-2023-4863. Sakne atrodas noteiktā WebP renderēšanas koda funkcijā (“BuildHuffmanTable”), padarot kodeku neaizsargātu pret kaudzes buferis pārplūst .
Kaudzes bufera pārslodze rodas, ja programma atmiņas buferī ieraksta vairāk datu, nekā tas ir paredzēts. Ja tas notiek, tas var pārrakstīt blakus esošo atmiņu un sabojāt datus. Vēl ļaunāk, hakeri var izmantot kaudzes bufera pārpildes, lai pārņemtu sistēmas un ierīces attālināti.
Hakeri var mērķēt uz lietotnēm, kurām ir zināmas bufera pārpildes ievainojamības, un nosūtīt tām ļaunprātīgus datus. Piemēram, viņi var augšupielādēt ļaunprātīgu WebP attēlu, kas izvieto kodu lietotāja ierīcē, kad viņi to skata savā pārlūkprogrammā vai citā lietotnē.
Šāda veida ievainojamība, kas pastāv tik plaši izmantotā kodā kā WebP kodeks, ir nopietna problēma. Papildus galvenajām pārlūkprogrammām neskaitāmas lietotnes izmanto vienu un to pašu kodeku, lai renderētu WebP attēlus. Šajā posmā ievainojamība CVE-2023-4863 ir pārāk plaši izplatīta, lai mēs varētu zināt, cik liela tā patiesībā ir, un tīrīšana būs netīra.
Vai ir droši lietot manu iecienītāko pārlūkprogrammu?
Jā, lielākā daļa lielāko pārlūkprogrammu jau ir izlaidušas atjauninājumus, lai novērstu šo problēmu. Tātad, kamēr atjaunināt savas lietotnes uz jaunāko versiju, varat pārlūkot tīmekli kā parasti. Google, Mozilla, Microsoft, Brave un Tor ir izlaiduši drošības ielāpus, un citi, iespējams, to ir izdarījuši laikā, kad lasāt šo.
Atjauninājumi, kas ietver šīs konkrētās ievainojamības labojumus, ir:
kā spoguļot attēlu Android ierīcē
- Chrome: Versija 116.0.5846.187 (Mac/Linux); versija 116.0.5845.187/.188 (Windows)
- Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
- Mala: Edge versija 116.0.1938.81
- Drosmīgs: Brave versija 1.57.64
- Tor: Tor pārlūkprogramma 12.5.4
Ja izmantojat citu pārlūkprogrammu, pārbaudiet jaunākos atjauninājumus un meklējiet konkrētas atsauces uz CVE-2023-4863 kaudzes bufera pārpildes ievainojamību pakalpojumā WebP. Piemēram, Chrome atjauninājuma paziņojumā ir ietverta šāda atsauce: “Kritisks CVE-2023-4863: kaudzes bufera pārpilde WebP”.
Ja nevarat atrast atsauci uz šo ievainojamību savas iecienītākās pārlūkprogrammas jaunākajā versijā, pārslēdzieties uz iepriekš norādīto, līdz jūsu izvēlētajai pārlūkprogrammai tiek izdots labojums.
Vai es varu droši izmantot savas iecienītākās lietotnes?
Šeit tas kļūst sarežģīti. Diemžēl CVE-2023-4863 WebP ievainojamība ietekmē arī nezināmu skaitu lietotņu. Pirmkārt, jebkura programmatūra, kas izmanto libwebp bibliotēka ir šī ievainojamība, kas nozīmē, ka katram pakalpojumu sniedzējam būs jāizlaiž savi drošības ielāpi.
Lai padarītu lietas sarežģītākas, šī ievainojamība ir iekļauta daudzos populāros ietvaros, ko izmanto lietotņu izveidei. Šādos gadījumos vispirms ir jāatjaunina ietvari, un pēc tam programmatūras nodrošinātājiem, kas tos izmanto, ir jāatjaunina uz jaunāko versiju, lai aizsargātu savus lietotājus. Tādējādi vidusmēra lietotājam ir ļoti grūti uzzināt, kuras lietotnes ir ietekmētas un kuras ir novērsušas problēmu.
Kā atklāja Alekss Ivanovs par Staka dienasgrāmatu , ietekmētās lietotnes ietver Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice un Affinity komplektu, tostarp daudzas citas.
android auto netiek rādīts automašīnas ekrānā
1Password ir izlaidusi atjauninājumu lai atrisinātu problēmu, lai gan tās paziņojumu lapā ir ievainojamības ID CVE-2023-4863 drukas kļūda (tā beidzas ar -36, nevis -63). Apple arī ir izlaida drošības ielāpu operētājsistēmai macOS kas, šķiet, atrisina to pašu problēmu, taču tajā nav konkrētas atsauces. Tāpat Slack izlaida drošības atjauninājumu 12. septembrī (versija 4.34.119), taču tajā nav atsauces uz CVE-2023-4863.
Atjauniniet visu un rīkojieties uzmanīgi
Kā lietotājs vienīgais, ko varat darīt saistībā ar CVE-2023-4863 WebP Codex ievainojamību, ir visu atjaunināt. Sāciet ar katru izmantoto pārlūkprogrammu un pēc tam pārejiet cauri svarīgākajām lietotnēm.
Pārbaudiet katras pieejamās lietotnes jaunākās versijas un meklējiet konkrētas atsauces uz CVE-2023-4863 ID. Ja jaunākajās piezīmēs par laidienu nevarat atrast atsauces uz šo ievainojamību, apsveriet iespēju pārslēgties uz drošu alternatīvu, līdz jūsu izvēlētā lietotne novērsīs problēmu. Ja tas nav iespējams, pārbaudiet, vai pēc 12. septembra ir izlaisti drošības atjauninājumi, un turpiniet atjaunināšanu, tiklīdz tiek izlaisti jauni drošības ielāpi.
Tas negarantē, ka CVE-2023-4863 tiks risināts, taču tā ir labākā rezerves iespēja, kāda jums šobrīd ir.
WebP: lielisks risinājums ar brīdinājuma stāstu
Google palaida WebP 2010. gadā kā risinājumu ātrākai attēlu renderēšanai pārlūkprogrammās un citās lietojumprogrammās. Formāts nodrošina zudumu un bezzudumu saspiešanu, kas var samazināt attēla failu lielumu par ~30 procentiem, vienlaikus saglabājot uztveramu kvalitāti.
Veiktspējas ziņā WebP ir lielisks risinājums renderēšanas laika samazināšanai. Tomēr tas ir arī brīdinošs stāsts par to, ka prioritāte tiek piešķirta konkrētam darbības aspektam, nevis citiem, proti, drošībai. Kad pusgatavā izstrāde tiek plaši izmantota, tā rada perfektu vētru avotu ievainojamībām. Un, pieaugot nulles dienas izmantošanai, uzņēmumiem, piemēram, Google, ir jāuzlabo sava spēle, pretējā gadījumā izstrādātājiem būs vairāk jāpārbauda tehnoloģijas.