Home-theater-designers
En kritisk sårbarhet i WebP Codec har upptäckts, vilket tvingar stora webbläsare att snabbspåra säkerhetsuppdateringar. Utbredd användning av samma WebP-renderingskod innebär dock att otaliga appar också påverkas, tills de släpper säkerhetskorrigeringar.
MUO Dagens video SCROLL FÖR ATT FORTSÄTTA MED INNEHÅLL
Så vad är CVE-2023-4863-sårbarheten? Hur illa är det? Och vad kan du?
Vad är WebP CVE-2023-4863-sårbarheten?
Problemet i WebP Codec har fått namnet CVE-2023-4863. Roten ligger inom en specifik funktion av WebP-renderingskoden ('BuildHuffmanTable'), vilket gör codecen sårbar för högbuffert svämmar över .
En överbelastning av heapbuffert uppstår när ett program skriver mer data till en minnesbuffert än vad det är designat för att hålla. När detta händer kan det eventuellt skriva över angränsande minne och korrupta data. Ännu värre, hackare kan utnyttja heap buffer overflows för att ta över system och enheter på distans.
Hackare kan inrikta sig på appar som är kända för att ha buffertöverskridande sårbarheter och skicka dem skadlig data. Till exempel kan de ladda upp en skadlig WebP-bild som distribuerar kod på användarens enhet när de visar den i sin webbläsare eller en annan app.
hur man stänger av popup -blockerare på chrome
Den här typen av sårbarhet som finns i kod som är så allmänt använd som WebP Codec är ett allvarligt problem. Bortsett från stora webbläsare använder otaliga appar samma codec för att rendera WebP-bilder. I det här skedet är CVE-2023-4863-sårbarheten för utbredd för att vi ska veta hur stor den verkligen är och rensningen kommer att bli rörig.
Är det säkert att använda min favoritwebbläsare?
Ja, de flesta större webbläsare har redan släppt uppdateringar för att lösa detta problem. Så så länge du uppdaterar dina appar till den senaste versionen kan du surfa på webben som vanligt. Google, Mozilla, Microsoft, Brave och Tor har alla släppt säkerhetskorrigeringar och andra har förmodligen gjort det när du läser detta.
Uppdateringarna som innehåller korrigeringar för denna specifika sårbarhet är:
- Krom: Version 116.0.5846.187 (Mac / Linux); version 116.0.5845.187/.188 (Windows)
- Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
- Kant: Edge version 116.0.1938.81
- Modig: Brave version 1.57.64
- Tor: Tor-webbläsare 12.5.4
Om du använder en annan webbläsare, leta efter de senaste uppdateringarna och leta efter specifika referenser till CVE-2023-4863 heap buffer overflow sårbarhet i WebP. Till exempel innehåller Chromes uppdateringsmeddelande följande referens: 'Critical CVE-2023-4863: Heap buffer overflow in WebP'.
Om du inte kan hitta en referens till denna sårbarhet i den senaste versionen av din favoritwebbläsare, byt till en listad ovan tills en korrigering släpps för den webbläsare du väljer.
Är jag säker att använda mina favoritappar?
Det är här det blir knepigt. Tyvärr påverkar CVE-2023-4863 WebP-sårbarheten också ett okänt antal appar. För det första, all programvara som använder libwebp-biblioteket påverkas av denna sårbarhet, vilket innebär att varje leverantör måste släppa sina egna säkerhetskorrigeringar.
För att göra saken mer komplicerad är denna sårbarhet inbakad i många populära ramverk som används för att bygga appar. I dessa fall måste ramverken först uppdateras och sedan måste programvaruleverantörer som använder dem uppdatera till den senaste versionen för att skydda sina användare. Detta gör det mycket svårt för den genomsnittliga användaren att veta vilka appar som påverkas och vilka som har åtgärdat problemet.
Som upptäckt av Alex Ivanovs på Stack Diary , berörda appar inkluderar Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice och Affinity-sviten – bland många fler.
1Password har släppt en uppdatering för att lösa problemet, även om dess meddelandesida innehåller ett stavfel för CVE-2023-4863 sårbarhets-ID (slutar det med -36, istället för -63). Apple har också släppte en säkerhetskorrigering för macOS som verkar lösa samma problem, men det refererar inte specifikt till det. Likaså, Slack släppte en säkerhetsuppdatering den 12 september (version 4.34.119) men refererar inte till CVE-2023-4863.
Uppdatera allt och fortsätt försiktigt
Som användare är det enda du kan göra åt CVE-2023-4863 WebP Codex-sårbarheten att uppdatera allt. Börja med varje webbläsare du använder och arbeta dig sedan igenom dina viktigaste appar.
Kontrollera de senaste versionerna för varje app du kan och leta efter specifika referenser till CVE-2023-4863 ID. Om du inte kan hitta referenser till denna sårbarhet i de senaste versionskommentarerna, överväg att byta till ett säkert alternativ tills din föredragna app åtgärdar problemet. Om detta inte är ett alternativ, leta efter säkerhetsuppdateringar som släppts efter den 12 september och fortsätt uppdatera så snart nya säkerhetskorrigeringar släpps.
hur man går med i en Netflix -fest
Detta garanterar inte att CVE-2023-4863 åtgärdas, men det är det bästa reservalternativet du har just nu.
WebP: En bra lösning med en varnande berättelse
Google lanserade WebP 2010 som en lösning för att rendera bilder snabbare i webbläsare och andra applikationer. Formatet ger förlustfri och förlustfri komprimering som kan minska storleken på bildfiler med ~30 procent med bibehållen märkbar kvalitet.
Prestandamässigt är WebP en bra lösning för att minska renderingstiden. Men det är också en varnande berättelse om att prioritera en specifik aspekt av prestanda framför andra – nämligen säkerhet. När halvdan utveckling möter utbredd adoption skapar det en perfekt storm för källors sårbarheter. Och med nolldagars exploateringar på uppgång, måste företag som Google förbättra sitt spel, annars måste utvecklarna granska tekniken mer.