Home-theater-designers
V kodeku WebP bola objavená kritická zraniteľnosť, ktorá núti hlavné prehliadače k rýchlemu aktualizovaniu bezpečnostných aktualizácií. Široké používanie rovnakého vykresľovacieho kódu WebP však znamená, že je ovplyvnených aj nespočetné množstvo aplikácií, kým nevydajú bezpečnostné opravy.
MUO Video dňa POKRAČUJTE V OBSAHU POKRAČOVANÍM
Aká je teda zraniteľnosť CVE-2023-4863? aké zlé to je? A čo môžeš ty?
Čo je zraniteľnosť WebP CVE-2023-4863?
Problém v kodeku WebP bol pomenovaný CVE-2023-4863. Koreň leží v špecifickej funkcii vykresľovacieho kódu WebP („BuildHuffmanTable“), vďaka čomu je kodek zraniteľný voči pretečenie vyrovnávacej pamäte haldy .
Preťaženie vyrovnávacej pamäte haldy nastane, keď program zapíše do vyrovnávacej pamäte viac údajov, ako je navrhnutý na držanie. Keď sa to stane, môže to potenciálne prepísať susednú pamäť a poškodiť údaje. Ešte horšie, hackeri môžu využiť pretečenie vyrovnávacej pamäte haldy na ovládnutie systémov a zariadenia na diaľku.
Hackeri môžu cieliť na aplikácie, o ktorých je známe, že majú zraniteľné miesta pretečenia vyrovnávacej pamäte, a posielať im škodlivé údaje. Mohli by napríklad nahrať škodlivý obrázok WebP, ktorý nasadí kód do zariadenia používateľa, keď ho zobrazí v prehliadači alebo inej aplikácii.
kde si môžem stiahnuť elektronické knihy zadarmo
Tento druh zraniteľnosti existujúci v kóde, ktorý sa bežne používa ako kodek WebP, je vážny problém. Okrem veľkých prehliadačov, nespočetné množstvo aplikácií používa rovnaký kodek na vykresľovanie obrázkov WebP. V tejto fáze je zraniteľnosť CVE-2023-4863 príliš rozšírená na to, aby sme vedeli, aká veľká v skutočnosti je, a čistenie bude komplikované.
Je bezpečné používať môj obľúbený prehliadač?
Áno, väčšina hlavných prehliadačov už vydala aktualizácie na riešenie tohto problému. Takže ak aktualizujete svoje aplikácie na najnovšiu verziu, môžete prehliadať web ako zvyčajne. Google, Mozilla, Microsoft, Brave a Tor vydali všetky bezpečnostné záplaty a iní tak pravdepodobne urobili v čase, keď toto čítate.
Aktualizácie obsahujúce opravy tejto konkrétnej chyby zabezpečenia sú:
- Chrome: Verzia 116.0.5846.187 (Mac / Linux); verzia 116.0.5845.187/.188 (Windows)
- Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
- Hrana: Verzia Edge 116.0.1938.81
- Odvážny: Odvážna verzia 1.57.64
- Tor: Prehliadač Tor 12.5.4
Ak používate iný prehliadač, skontrolujte najnovšie aktualizácie a vyhľadajte konkrétne odkazy na chybu zabezpečenia pretečenia vyrovnávacej pamäte haldy CVE-2023-4863 vo WebP. Oznámenie o aktualizácii prehliadača Chrome obsahuje napríklad nasledujúci odkaz: „Kritické CVE-2023-4863: Pretečenie vyrovnávacej pamäte haldy vo WebP“.
Ak nemôžete nájsť odkaz na túto chybu zabezpečenia v najnovšej verzii svojho obľúbeného prehliadača, prejdite na verziu uvedenú vyššie, kým nebude vydaná oprava pre váš prehliadač.
Môžem bezpečne používať svoje obľúbené aplikácie?
Tu to začína byť zložité. Žiaľ, zraniteľnosť CVE-2023-4863 WebP ovplyvňuje aj neznámy počet aplikácií. Po prvé, akýkoľvek softvér, ktorý sa používa knižnica libwebp je ovplyvnená touto zraniteľnosťou, čo znamená, že každý poskytovateľ bude musieť vydať svoje vlastné bezpečnostné záplaty.
Aby to bolo ešte komplikovanejšie, táto zraniteľnosť je zapečená do mnohých populárnych rámcov používaných na vytváranie aplikácií. V týchto prípadoch je potrebné najskôr aktualizovať rámce a potom poskytovatelia softvéru, ktorí ich používajú, musia aktualizovať na najnovšiu verziu, aby ochránili svojich používateľov. To sťažuje bežnému používateľovi vedieť, ktoré aplikácie sú ovplyvnené a ktoré problém vyriešili.
Ako zistil Alex Ivanovs v denníku Stack Diary , ovplyvnené aplikácie zahŕňajú Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice a balík Affinity – a mnoho ďalších.
1Password vydala aktualizáciu na vyriešenie problému, hoci jeho oznamovacia stránka obsahuje preklep pre ID zraniteľnosti CVE-2023-4863 (končí na -36 namiesto -63). Apple má tiež vydala bezpečnostnú opravu pre macOS zdá sa, že rieši rovnaký problém, ale konkrétne naň neodkazuje. podobne, Slack vydal aktualizáciu zabezpečenia 12. septembra (verzia 4.34.119), ale neodkazuje na CVE-2023-4863.
Aktualizujte všetko a postupujte opatrne
Jediná vec, ktorú môžete ako používateľ so zraniteľnosťou CVE-2023-4863 WebP Codex urobiť, je aktualizovať všetko. Začnite s každým prehliadačom, ktorý používate, a potom postupujte cez svoje najdôležitejšie aplikácie.
Skontrolujte najnovšie verzie verzií každej aplikácie, ktorú môžete, a vyhľadajte konkrétne odkazy na ID CVE-2023-4863. Ak nemôžete nájsť odkazy na túto chybu zabezpečenia v najnovších poznámkach k vydaniu, zvážte prechod na zabezpečenú alternatívu, kým problém nevyrieši vaša preferovaná aplikácia. Ak to nie je možné, skontrolujte aktualizácie zabezpečenia vydané po 12. septembri a pokračujte v aktualizácii hneď, ako budú vydané nové opravy zabezpečenia.
To nezaručuje, že sa rieši CVE-2023-4863, ale je to najlepšia záložná možnosť, ktorú v tomto bode máte.
reštartujte počítač a vyberte správne zavádzacie zariadenie alebo vložte zavádzacie médium
WebP: Skvelé riešenie s varovným príbehom
Google spustil WebP v roku 2010 ako riešenie na rýchlejšie vykresľovanie obrázkov v prehliadačoch a iných aplikáciách. Formát poskytuje stratovú a bezstratovú kompresiu, ktorá dokáže zmenšiť veľkosť obrazových súborov o ~30 percent pri zachovaní vnímateľnej kvality.
Z hľadiska výkonu je WebP skvelým riešením na skrátenie času vykresľovania. Je to však aj varovný príbeh o uprednostňovaní špecifického aspektu výkonu pred ostatnými – menovite bezpečnosti. Keď sa polovičatý vývoj stretne s rozšíreným prijatím, vytvorí sa dokonalá búrka pre slabé miesta zdrojov. A so zvyšujúcim sa využitím zero-day exploitov musia spoločnosti ako Google zlepšiť svoju hru alebo budú musieť vývojári viac skúmať technológie.