Poważna luka CVE-2023-4863 może zapewnić hakerom zdalny dostęp do całego systemu. Oto, co należy zrobić.

Odkryto krytyczną lukę w kodeku WebP, która zmusza główne przeglądarki do przyspieszenia aktualizacji zabezpieczeń. Jednak powszechne użycie tego samego kodu renderującego WebP oznacza, że ​​wpływa to również na niezliczone aplikacje, dopóki nie zostaną wydane poprawki zabezpieczeń.

Czym zatem jest luka CVE-2023-4863? Jak bardzo jest źle? A co możesz?

Czym jest luka w zabezpieczeniach WebP CVE-2023-4863?

Problem w kodeku WebP został nazwany CVE-2023-4863. Korzeń leży w określonej funkcji kodu renderującego WebP („BuildHuffmanTable”), przez co kodek jest podatny na ataki przepełnienia bufora sterty.

Przeciążenie bufora sterty ma miejsce, gdy program zapisuje w buforze pamięci więcej danych, niż jest przeznaczony do przechowywania. Gdy tak się stanie, może to potencjalnie spowodować nadpisanie sąsiedniej pamięci i uszkodzenie danych. Co gorsza, hakerzy mogą wykorzystać przepełnienie bufora sterty w celu przejęcia systemów i urządzenia zdalnie.

instagram viewer

Hakerzy mogą atakować aplikacje, o których wiadomo, że mają luki w zabezpieczeniach związane z przepełnieniem bufora, i wysyłać im złośliwe dane. Mogą na przykład przesłać złośliwy obraz WebP, który wdraża kod na urządzeniu użytkownika, gdy przegląda go w przeglądarce lub innej aplikacji.

Tego rodzaju luka występująca w kodzie tak szeroko stosowanym jak kodek WebP jest poważnym problemem. Oprócz głównych przeglądarek niezliczone aplikacje używają tego samego kodeka do renderowania obrazów WebP. Na tym etapie luka CVE-2023-4863 jest zbyt rozpowszechniona, abyśmy mogli stwierdzić, jak duża jest w rzeczywistości, a jej czyszczenie będzie kłopotliwe.

Czy korzystanie z mojej ulubionej przeglądarki jest bezpieczne?

Tak, większość głównych przeglądarek wydała już aktualizacje rozwiązujące ten problem. Tak więc, jeśli zaktualizujesz aplikacje do najnowszej wersji, możesz normalnie przeglądać internet. Google, Mozilla, Microsoft, Brave i Tor wydały poprawki bezpieczeństwa, a inne prawdopodobnie zrobiły to, zanim to czytasz.

Aktualizacje zawierające poprawki tej konkretnej luki to:

  • Chrom: Wersja 116.0.5846.187 (Mac/Linux); wersja 116.0.5845.187/.188 (Windows)
  • Firefoksa: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
  • Krawędź: Wersja krawędziowa 116.0.1938.81
  • Odważny: Odważna wersja 1.57.64
  • Słup: Przeglądarka Tor 12.5.4

Jeśli używasz innej przeglądarki, sprawdź najnowsze aktualizacje i poszukaj konkretnych odniesień do luki w zabezpieczeniach CVE-2023-4863 związanej z przepełnieniem bufora sterty w WebP. Na przykład ogłoszenie o aktualizacji przeglądarki Chrome zawiera następujące odniesienie: „Krytyczny CVE-2023-4863: Przepełnienie bufora sterty w WebP”.

Jeśli nie możesz znaleźć odniesienia do tej luki w najnowszej wersji swojej ulubionej przeglądarki, przełącz się na wersję wymienioną powyżej do czasu wydania poprawki dla wybranej przeglądarki.

Czy korzystanie z moich ulubionych aplikacji jest bezpieczne?

Tutaj sprawa staje się trudna. Niestety luka CVE-2023-4863 WebP wpływa również na nieznaną liczbę aplikacji. Po pierwsze, dowolne oprogramowanie bibliotekę libwebp jest dotknięta tą luką, co oznacza, że ​​każdy dostawca będzie musiał wydać własne poprawki zabezpieczeń.

Aby jeszcze bardziej skomplikować sprawę, luka ta jest wbudowana w wiele popularnych frameworków używanych do tworzenia aplikacji. W takich przypadkach frameworki wymagają najpierw aktualizacji, a następnie korzystający z nich dostawcy oprogramowania muszą zaktualizować je do najnowszej wersji, aby chronić swoich użytkowników. To sprawia, że ​​przeciętnemu użytkownikowi bardzo trudno jest dowiedzieć się, których aplikacji dotyczy problem, a które rozwiązały problem.

Dotknięte aplikacje to między innymi Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice i pakiet Affinity.

1Password wydało aktualizację aby rozwiązać ten problem, chociaż strona z ogłoszeniem zawiera literówkę dla identyfikatora luki CVE-2023-4863 (kończącego się na -36 zamiast -63). Apple też ma wydało łatkę bezpieczeństwa dla systemu macOS który wydaje się rozwiązywać ten sam problem, ale nie odnosi się do niego konkretnie. Podobnie, Slack wydał aktualizację zabezpieczeń w dniu 12 września (wersja 4.34.119), ale nie zawiera odniesienia do CVE-2023-4863.

Zaktualizuj wszystko i postępuj ostrożnie

Jako użytkownik jedyną rzeczą, którą możesz zrobić w związku z luką CVE-2023-4863 WebP Codex, jest zaktualizowanie wszystkiego. Zacznij od każdej przeglądarki, której używasz, a następnie przeglądaj najważniejsze aplikacje.

Sprawdź najnowsze wersje każdej aplikacji, jaką możesz, i poszukaj konkretnych odniesień do identyfikatora CVE-2023-4863. Jeśli w informacjach o najnowszej wersji nie możesz znaleźć wzmianek o tej luce, rozważ przejście na bezpieczną alternatywę do czasu, aż preferowana aplikacja rozwiąże problem. Jeśli nie jest to możliwe, sprawdź dostępność aktualizacji zabezpieczeń wydanych po 12 września i aktualizuj je, gdy tylko zostaną wydane nowe poprawki zabezpieczeń.

Nie gwarantuje to, że problem CVE-2023-4863 zostanie rozwiązany, ale jest to najlepsza opcja awaryjna, jaką masz w tym momencie.

WebP: dobre rozwiązanie z przestrogą

Google uruchomił WebP w 2010 roku jako rozwiązanie umożliwiające szybsze renderowanie obrazów w przeglądarkach i innych aplikacjach. Format zapewnia kompresję stratną i bezstratną, która może zmniejszyć rozmiar plików graficznych o ~30 procent przy zachowaniu zauważalnej jakości.

Pod względem wydajności WebP jest doskonałym rozwiązaniem pozwalającym skrócić czas renderowania. Jest to jednak także przestroga dotycząca przedkładania określonego aspektu wydajności nad inne, a mianowicie bezpieczeństwa. Kiedy niedokończony rozwój spotyka się z powszechnym przyjęciem, tworzy się doskonała burza w poszukiwaniu luk źródłowych. A wraz ze wzrostem liczby exploitów typu zero-day firmy takie jak Google muszą ulepszyć swoje gry, w przeciwnym razie programiści będą musieli dokładniej przyjrzeć się technologiom.