Home-theater-designers
En kritisk sårbarhet i WebP-kodeken har blitt oppdaget, noe som tvinger store nettlesere til å hurtigspore sikkerhetsoppdateringer. Utstrakt bruk av den samme WebP-gjengivelseskoden betyr imidlertid at utallige apper også blir berørt, helt til de slipper sikkerhetsoppdateringer.
MUO Video av dagen RULL FOR Å FORTSETTE MED INNHOLD
Så hva er CVE-2023-4863-sårbarheten? Hvor ille er det? Og hva kan du?
Hva er WebP CVE-2023-4863-sårbarheten?
Problemet i WebP-kodeken har fått navnet CVE-2023-4863. Roten ligger innenfor en spesifikk funksjon av WebP-gjengivelseskoden ('BuildHuffmanTable'), noe som gjør kodeken sårbar for haugbuffer renner over .
lag en oppstartbar usb for windows 7
En haugbufferoverbelastning oppstår når et program skriver mer data til en minnebuffer enn det er designet for å holde. Når dette skjer, kan det potensielt overskrive tilstøtende minne og korrupte data. Enda verre, hackere kan utnytte heap buffer overflows for å overta systemer og enheter eksternt.
Hackere kan målrette apper som er kjent for å ha bufferoverløpssårbarheter og sende dem skadelig data. For eksempel kan de laste opp et ondsinnet WebP-bilde som distribuerer kode på brukerens enhet når de ser det i nettleseren eller en annen app.
Denne typen sårbarhet som finnes i kode som er så mye brukt som WebP-kodeken, er et alvorlig problem. Bortsett fra store nettlesere, bruker utallige apper den samme kodeken for å gjengi WebP-bilder. På dette stadiet er CVE-2023-4863-sårbarheten for utbredt til at vi kan vite hvor stor den egentlig er, og oppryddingen kommer til å bli rotete.
Er det trygt å bruke favorittnettleseren min?
Ja, de fleste store nettlesere har allerede gitt ut oppdateringer for å løse dette problemet. Så så lenge du oppdaterer appene dine til den nyeste versjonen, kan du surfe på nettet som vanlig. Google, Mozilla, Microsoft, Brave og Tor har alle gitt ut sikkerhetsoppdateringer, og andre har sannsynligvis gjort det når du leser dette.
Oppdateringene som inneholder rettelser for dette spesifikke sikkerhetsproblemet er:
kan du bruke to forskjellige merker av ram
- Chrome: Versjon 116.0.5846.187 (Mac / Linux); versjon 116.0.5845.187/.188 (Windows)
- Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
- Kant: Edge versjon 116.0.1938.81
- Modig: Modig versjon 1.57.64
- Tor: Tor-nettleser 12.5.4
Hvis du bruker en annen nettleser, se etter de siste oppdateringene og se etter spesifikke referanser til CVE-2023-4863 heap buffer overflow-sårbarheten i WebP. For eksempel inkluderer Chromes oppdateringskunngjøring følgende referanse: 'Critical CVE-2023-4863: Heap buffer overflow in WebP'.
Hvis du ikke finner en referanse til dette sikkerhetsproblemet i den nyeste versjonen av favorittnettleseren din, bytt til en som er oppført ovenfor til en løsning er utgitt for nettleseren du ønsker.
Er jeg trygg på å bruke favorittappene mine?
Det er her det blir vanskelig. Dessverre påvirker CVE-2023-4863 WebP-sårbarheten også et ukjent antall apper. For det første, all programvare som bruker libwebp-biblioteket er påvirket av dette sikkerhetsproblemet, noe som betyr at hver leverandør må utgi sine egne sikkerhetsoppdateringer.
For å gjøre saken mer komplisert, er denne sårbarheten bakt inn i mange populære rammeverk som brukes til å bygge apper. I disse tilfellene må rammeverket først oppdateres, og deretter må programvareleverandører som bruker dem oppdatere til den nyeste versjonen for å beskytte brukerne sine. Dette gjør det svært vanskelig for den gjennomsnittlige brukeren å vite hvilke apper som er berørt og hvilke som har løst problemet.
Som oppdaget av Alex Ivanovs på Stack Diary , berørte apper inkluderer Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice og Affinity-pakken – blant mange flere.
1Password har gitt ut en oppdatering for å løse problemet, selv om kunngjøringssiden inneholder en skrivefeil for CVE-2023-4863 sårbarhets-ID (ender den med -36, i stedet for -63). Apple har også lanserte en sikkerhetsoppdatering for macOS som ser ut til å løse det samme problemet, men det refererer ikke spesifikt til det. Like måte, Slack har gitt ut en sikkerhetsoppdatering 12. september (versjon 4.34.119), men refererer ikke til CVE-2023-4863.
Oppdater alt og fortsett forsiktig
Som bruker er det eneste du kan gjøre med CVE-2023-4863 WebP Codex-sårbarheten å oppdatere alt. Start med hver nettleser du bruker, og jobb deg deretter gjennom de viktigste appene dine.
Sjekk de siste utgivelsesversjonene for hver app du kan, og se etter spesifikke referanser til CVE-2023-4863 ID. Hvis du ikke finner referanser til dette sikkerhetsproblemet i de siste versjonsmerknadene, bør du vurdere å bytte til et sikkert alternativ til den foretrukne appen din løser problemet. Hvis dette ikke er et alternativ, se etter sikkerhetsoppdateringer utgitt etter 12. september og fortsett å oppdatere så snart nye sikkerhetsoppdateringer er utgitt.
kan du gjenopprette slettede Facebook -meldinger
Dette vil ikke garantere at CVE-2023-4863 blir adressert, men det er det beste reservealternativet du har på dette tidspunktet.
WebP: En fin løsning med en advarende historie
Google lanserte WebP i 2010 som en løsning for å gjengi bilder raskere i nettlesere og andre applikasjoner. Formatet gir tapsfri og tapsfri komprimering som kan redusere størrelsen på bildefiler med ~30 prosent samtidig som den opprettholder merkbar kvalitet.
Ytelsesmessig er WebP en fin løsning for å redusere gjengivelsestiden. Imidlertid er det også en advarende historie om å prioritere et spesifikt aspekt ved ytelse fremfor andre - nemlig sikkerhet. Når halvferdig utvikling møter utbredt bruk, skaper det en perfekt storm for kildesårbarheter. Og med nulldagers utnyttelser på vei oppover, må selskaper som Google forbedre spillet sitt, ellers må utviklerne granske teknologiene mer.