Velika ranjivost, CVE-2023-4863, može hakerima omogućiti daljinski pristup vašem cijelom sustavu. Evo što učiniti.

Otkrivena je kritična ranjivost u WebP kodeku, zbog čega su veliki preglednici prisiljeni ubrzati sigurnosna ažuriranja. Međutim, široko rasprostranjena upotreba istog WebP koda za renderiranje znači da su pogođene i bezbrojne aplikacije, sve dok ne objave sigurnosne zakrpe.

Dakle, što je CVE-2023-4863 ranjivost? Koliko je loše? A što možete učiniti?

Što je ranjivost WebP CVE-2023-4863?

Problem u WebP kodeku nazvan je CVE-2023-4863. Korijen se nalazi unutar određene funkcije WebP koda za renderiranje ("BuildHuffmanTable"), zbog čega je kodek ranjiv na gomila međuspremnika prelijeva.

Preopterećenje međuspremnika gomile događa se kada program zapisuje više podataka u međuspremnik memorije nego što je predviđeno za držanje. Kada se to dogodi, potencijalno može prebrisati susjednu memoriju i oštetiti podatke. Još gore, hakeri mogu iskoristiti preljeve međuspremnika hrpe kako bi preuzeli sustave i uređaje na daljinu.

Hakeri mogu ciljati aplikacije za koje se zna da imaju ranjivost prekoračenja međuspremnika i slati im zlonamjerne podatke. Na primjer, mogli bi učitati zlonamjernu WebP sliku koja implementira kod na korisnikov uređaj kada ga gleda u svom pregledniku ili nekoj drugoj aplikaciji.

Ova vrsta ranjivosti koja postoji u kodu tako naširoko korištenom kao WebP Codec je ozbiljan problem. Osim glavnih preglednika, bezbrojne aplikacije koriste isti kodek za renderiranje WebP slika. U ovoj fazi, ranjivost CVE-2023-4863 previše je raširena da bismo znali koliko je zapravo velika i čišćenje će biti neuredno.

Je li sigurno koristiti svoj omiljeni preglednik?

Da, većina glavnih preglednika već je objavila ažuriranja za rješavanje ovog problema. Dakle, sve dok ažurirate svoje aplikacije na najnoviju verziju, možete pregledavati web kao i obično. Google, Mozilla, Microsoft, Brave i Tor objavili su sigurnosne zakrpe, a drugi su to vjerojatno učinili do trenutka kada ovo čitate.

Ažuriranja koja sadrže popravke za ovu specifičnu ranjivost su:

  • Krom: Verzija 116.0.5846.187 (Mac / Linux); verzija 116.0.5845.187/.188 (Windows)
  • Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
  • Rub: Edge verzija 116.0.1938.81
  • Hrabar: Hrabra verzija 1.57.64
  • Tor: Tor preglednik 12.5.4

Ako koristite drugi preglednik, provjerite postoje li najnovija ažuriranja i potražite specifične reference na CVE-2023-4863 ranjivost prekoračenja međuspremnika gomile u WebP-u. Na primjer, Chromeova najava ažuriranja uključuje sljedeću referencu: "Kritično CVE-2023-4863: Prelijevanje međuspremnika hrpe u WebP-u".

Ako ne možete pronaći referencu na ovu ranjivost u najnovijoj verziji vašeg omiljenog preglednika, prebacite se na jedan od gore navedenih dok se ne objavi popravak za vaš preglednik po izboru.

Jesam li siguran za korištenje svojih omiljenih aplikacija?

Ovdje postaje zeznuto. Nažalost, ranjivost CVE-2023-4863 WebP također utječe na nepoznat broj aplikacija. Prvo, korištenje bilo kojeg softvera biblioteka libwebp je pogođen ovom ranjivošću, što znači da će svaki pružatelj morati objaviti vlastite sigurnosne zakrpe.

Da stvar bude kompliciranija, ova je ranjivost ugrađena u mnoge popularne okvire koji se koriste za izradu aplikacija. U tim slučajevima prvo treba ažurirati okvire, a zatim ih dobavljači softvera koji ih koriste moraju ažurirati na najnoviju verziju kako bi zaštitili svoje korisnike. Zbog toga je prosječnom korisniku vrlo teško znati koje su aplikacije zahvaćene i koje su riješile problem.

Pogođene aplikacije uključuju Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice i paket Affinity—i mnoge druge.

1Password je objavio ažuriranje za rješavanje problema, iako njegova stranica s objavom uključuje tipfeler za ID ranjivosti CVE-2023-4863 (završava s -36, umjesto -63). Apple također ima objavio je sigurnosnu zakrpu za macOS čini se da rješava isti problem, ali ga ne spominje konkretno. Također, Slack je objavio sigurnosno ažuriranje 12. rujna (verzija 4.34.119), ali ne upućuje na CVE-2023-4863.

Ažurirajte sve i nastavite pažljivo

Kao korisnik, jedino što možete učiniti u vezi s ranjivošću CVE-2023-4863 WebP Codex je ažurirati sve. Započnite sa svakim preglednikom koji koristite, a zatim prođite kroz najvažnije aplikacije.

Provjerite najnovije verzije izdanja za svaku aplikaciju koju možete i potražite specifične reference na CVE-2023-4863 ID. Ako ne možete pronaći reference na ovu ranjivost u najnovijim bilješkama o izdanju, razmislite o prebacivanju na sigurnu alternativu dok vaša preferirana aplikacija ne riješi problem. Ako to nije opcija, provjerite postoje li sigurnosna ažuriranja objavljena nakon 12. rujna i nastavite s ažuriranjem čim se objave nove sigurnosne zakrpe.

To ne jamči da se CVE-2023-4863 rješava, ali to je najbolja zamjenska opcija koju imate u ovom trenutku.

WebP: dobro rješenje s pričom upozorenja

Google je pokrenuo WebP 2010. kao rješenje za brže prikazivanje slika u preglednicima i drugim aplikacijama. Format omogućuje kompresiju bez gubitaka i gubitaka koja može smanjiti veličinu slikovnih datoteka za ~30 posto uz zadržavanje primjetne kvalitete.

Što se tiče performansi, WebP je dobro rješenje za smanjenje vremena renderiranja. Međutim, to je također upozoravajuća priča o davanju prioriteta određenom aspektu izvedbe u odnosu na druge - naime, sigurnosti. Kada polovični razvoj naiđe na široko prihvaćanje, to stvara savršenu oluju za izvorne ranjivosti. A s porastom eksploatacija nultog dana, tvrtke poput Googlea moraju unaprijediti svoju igru ​​ili će programeri morati više proučavati tehnologije.