Hlavní zranitelnost, CVE-2023-4863, může hackerům umožnit vzdálený přístup k celému vašemu systému. Zde je to, co dělat.

Byla objevena kritická chyba zabezpečení v kodeku WebP, která nutí velké prohlížeče urychlit aktualizace zabezpečení. Široké používání stejného vykreslovacího kódu WebP však znamená, že je ovlivněno také nespočet aplikací, dokud nevydají bezpečnostní záplaty.

Jaká je tedy zranitelnost CVE-2023-4863? Jak moc je to špatné? A co můžeš?

Jaká je chyba zabezpečení WebP CVE-2023-4863?

Problém v kodeku WebP byl pojmenován CVE-2023-4863. Kořen leží ve specifické funkci vykreslovacího kódu WebP („BuildHuffmanTable“), díky čemuž je kodek zranitelný vůči přetečení vyrovnávací paměti haldy.

Přetížení vyrovnávací paměti haldy nastane, když program zapíše do vyrovnávací paměti více dat, než je navrženo pro uložení. Když k tomu dojde, může potenciálně přepsat sousední paměť a poškodit data. Ještě horší, hackeři mohou využít přetečení vyrovnávací paměti haldy k převzetí systémů a zařízení na dálku.

instagram viewer

Hackeři mohou cílit na aplikace, o kterých je známo, že mají zranitelnost přetečení vyrovnávací paměti, a odesílat jim škodlivá data. Mohli by například nahrát škodlivý obrázek WebP, který nasadí kód na zařízení uživatele, když jej zobrazí v prohlížeči nebo jiné aplikaci.

Tento druh zranitelnosti existující v kódu tak široce používaném jako kodek WebP je vážný problém. Kromě hlavních prohlížečů používá k vykreslování obrázků WebP bezpočet aplikací stejný kodek. V této fázi je zranitelnost CVE-2023-4863 příliš rozšířená na to, abychom věděli, jak velká ve skutečnosti je, a čištění bude komplikované.

Je bezpečné používat můj oblíbený prohlížeč?

Ano, většina hlavních prohlížečů již vydala aktualizace, které tento problém řeší. Takže pokud aktualizujete své aplikace na nejnovější verzi, můžete procházet web jako obvykle. Google, Mozilla, Microsoft, Brave a Tor všechny vydaly bezpečnostní záplaty a ostatní tak pravděpodobně učinili v době, kdy toto čtete.

Aktualizace obsahující opravy této konkrétní chyby zabezpečení:

  • Chrome: Verze 116.0.5846.187 (Mac / Linux); verze 116.0.5845.187/.188 (Windows)
  • Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
  • Okraj: Verze Edge 116.0.1938.81
  • Statečný: Odvážná verze 1.57.64
  • Tor: Prohlížeč Tor 12.5.4

Pokud používáte jiný prohlížeč, vyhledejte nejnovější aktualizace a vyhledejte konkrétní odkazy na chybu zabezpečení přetečení vyrovnávací paměti haldy CVE-2023-4863 ve WebP. Oznámení o aktualizaci Chrome například obsahuje následující odkaz: „Kritické CVE-2023-4863: Přetečení vyrovnávací paměti haldy ve WebP“.

Pokud nemůžete najít odkaz na tuto chybu zabezpečení v nejnovější verzi svého oblíbeného prohlížeče, přejděte na některou z výše uvedených, dokud nebude vydána oprava pro váš prohlížeč.

Mohu bezpečně používat své oblíbené aplikace?

Tady to začíná být složité. Chyba zabezpečení CVE-2023-4863 WebP bohužel také ovlivňuje neznámý počet aplikací. Za prvé, jakýkoli software, který používá knihovna libwebp je touto chybou zabezpečení ovlivněn, což znamená, že každý poskytovatel bude muset vydat své vlastní bezpečnostní záplaty.

Aby to bylo ještě komplikovanější, tato chyba zabezpečení je zapečena do mnoha populárních frameworků používaných k vytváření aplikací. V těchto případech je nutné nejprve aktualizovat rámce a poté poskytovatelé softwaru, kteří je používají, musí aktualizovat na nejnovější verzi, aby ochránili své uživatele. Díky tomu je pro běžného uživatele velmi obtížné zjistit, které aplikace jsou ovlivněny a které problém vyřešily.

Mezi dotčené aplikace patří Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice a sada Affinity – a mnoho dalších.

1Password vydala aktualizaci k vyřešení problému, ačkoli stránka s oznámením obsahuje překlep pro ID zranitelnosti CVE-2023-4863 (končí na -36 místo -63). Apple má také vydala bezpečnostní opravu pro macOS zdá se, že řeší stejný problém, ale konkrétně na něj neodkazuje. Rovněž, Slack vydal aktualizaci zabezpečení 12. září (verze 4.34.119), ale neodkazuje na CVE-2023-4863.

Aktualizujte vše a postupujte opatrně

Jediná věc, kterou můžete jako uživatel se zranitelností CVE-2023-4863 WebP Codex udělat, je vše aktualizovat. Začněte s každým prohlížečem, který používáte, a poté si projděte své nejdůležitější aplikace.

Zkontrolujte nejnovější verze vydání pro každou aplikaci, kterou můžete, a vyhledejte konkrétní odkazy na ID CVE-2023-4863. Pokud nemůžete najít odkazy na tuto chybu zabezpečení v nejnovějších poznámkách k vydání, zvažte přechod na zabezpečenou alternativu, dokud vaše preferovaná aplikace problém nevyřeší. Pokud to není možné, zkontrolujte aktualizace zabezpečení vydané po 12. září a pokračujte v aktualizaci, jakmile budou vydány nové opravy zabezpečení.

To nezaručuje, že CVE-2023-4863 bude řešen, ale je to nejlepší záložní možnost, kterou v tomto okamžiku máte.

WebP: Skvělé řešení s varovným příběhem

Google spustil WebP v roce 2010 jako řešení pro rychlejší vykreslování obrázků v prohlížečích a dalších aplikacích. Formát poskytuje ztrátovou a bezeztrátovou kompresi, která může snížit velikost obrazových souborů o ~30 procent při zachování vnímatelné kvality.

Z hlediska výkonu je WebP skvělým řešením pro zkrácení doby vykreslování. Je to však také varovný příběh o upřednostňování konkrétního aspektu výkonu před ostatními – jmenovitě bezpečnosti. Když se polovičatý vývoj setká s rozšířeným přijetím, vytvoří dokonalou smršť na zranitelnosti zdrojů. A vzhledem k tomu, že využívání zero-day exploitů je na vzestupu, společnosti jako Google potřebují zlepšit svou hru, nebo budou muset vývojáři více zkoumat technologie.