Μια σημαντική ευπάθεια, το CVE-2023-4863, μπορεί να δώσει στους χάκερ απομακρυσμένη πρόσβαση σε ολόκληρο το σύστημά σας. Εδώ είναι τι πρέπει να κάνετε.

Ανακαλύφθηκε μια κρίσιμη ευπάθεια στο WebP Codec, αναγκάζοντας τα μεγάλα προγράμματα περιήγησης να παρακολουθούν γρήγορα ενημερώσεις ασφαλείας. Ωστόσο, η ευρεία χρήση του ίδιου κώδικα απόδοσης WebP σημαίνει ότι επηρεάζονται επίσης αμέτρητες εφαρμογές, μέχρι να κυκλοφορήσουν ενημερώσεις κώδικα ασφαλείας.

Ποια είναι λοιπόν η ευπάθεια CVE-2023-4863; Πόσο άσχημο είναι? Και τι μπορείτε να κάνετε;

Τι είναι η ευπάθεια WebP CVE-2023-4863;

Το ζήτημα στον κωδικοποιητή WebP ονομάστηκε CVE-2023-4863. Η ρίζα βρίσκεται σε μια συγκεκριμένη λειτουργία του κώδικα απόδοσης WebP (το «BuildHuffmanTable»), καθιστώντας τον κωδικοποιητή ευάλωτο σε υπερχειλίζει το buffer σωρού.

Μια υπερφόρτωση του buffer σωρού συμβαίνει όταν ένα πρόγραμμα εγγράφει περισσότερα δεδομένα σε ένα buffer μνήμης από αυτά που έχει σχεδιαστεί να κρατά. Όταν συμβεί αυτό, μπορεί ενδεχομένως να αντικαταστήσει τη γειτονική μνήμη και να καταστρέψει δεδομένα. Ακόμα χειρότερα,

instagram viewer
οι χάκερ μπορούν να εκμεταλλευτούν τις υπερχειλίσεις του buffer σωρού για να εξαγοράσουν συστήματα και συσκευές εξ αποστάσεως.

Οι χάκερ μπορούν να στοχεύσουν εφαρμογές που είναι γνωστό ότι έχουν ευπάθειες υπερχείλισης buffer και να τους στείλουν κακόβουλα δεδομένα. Για παράδειγμα, θα μπορούσαν να ανεβάσουν μια κακόβουλη εικόνα WebP που αναπτύσσει κώδικα στη συσκευή του χρήστη όταν τον προβάλλει στο πρόγραμμα περιήγησής του ή σε άλλη εφαρμογή.

Αυτό το είδος ευπάθειας που υπάρχει στον κώδικα που χρησιμοποιείται ευρέως όπως το WebP Codec είναι ένα σοβαρό ζήτημα. Εκτός από τα μεγάλα προγράμματα περιήγησης, αμέτρητες εφαρμογές χρησιμοποιούν τον ίδιο κωδικοποιητή για την απόδοση εικόνων WebP. Σε αυτό το στάδιο, η ευπάθεια CVE-2023-4863 είναι πολύ διαδεδομένη για να γνωρίζουμε πόσο μεγάλη είναι πραγματικά και η εκκαθάριση θα είναι ακατάστατη.

Είναι ασφαλές να χρησιμοποιήσω το αγαπημένο μου πρόγραμμα περιήγησης;

Ναι, τα περισσότερα μεγάλα προγράμματα περιήγησης έχουν ήδη κυκλοφορήσει ενημερώσεις για την αντιμετώπιση αυτού του ζητήματος. Επομένως, εφόσον ενημερώνετε τις εφαρμογές σας στην πιο πρόσφατη έκδοση, μπορείτε να περιηγηθείτε στον ιστό ως συνήθως. Η Google, η Mozilla, η Microsoft, η Brave και η Tor έχουν κυκλοφορήσει όλες τις ενημερώσεις κώδικα ασφαλείας και άλλοι πιθανότατα το έχουν κάνει μέχρι να το διαβάσετε.

Οι ενημερώσεις που περιέχουν διορθώσεις για αυτήν τη συγκεκριμένη ευπάθεια είναι:

  • Χρώμιο: Έκδοση 116.0.5846.187 (Mac / Linux). έκδοση 116.0.5845.187/.188 (Windows)
  • Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
  • Ακρη: Έκδοση Edge 116.0.1938.81
  • Γενναίος: Brave έκδοση 1.57.64
  • Βραχώδης κορυφή: Tor Browser 12.5.4

Εάν χρησιμοποιείτε διαφορετικό πρόγραμμα περιήγησης, ελέγξτε για τις πιο πρόσφατες ενημερώσεις και αναζητήστε συγκεκριμένες αναφορές στην ευπάθεια υπερχείλισης του buffer σωρού CVE-2023-4863 στο WebP. Για παράδειγμα, η ανακοίνωση ενημέρωσης του Chrome περιλαμβάνει την ακόλουθη αναφορά: "Κρίσιμο CVE-2023-4863: Υπερχείλιση buffer σωρού στο WebP".

Εάν δεν μπορείτε να βρείτε αναφορά σε αυτήν την ευπάθεια στην πιο πρόσφατη έκδοση του αγαπημένου σας προγράμματος περιήγησης, μεταβείτε σε αυτή που αναφέρεται παραπάνω μέχρι να κυκλοφορήσει μια επιδιόρθωση για το πρόγραμμα περιήγησης της επιλογής σας.

Είμαι ασφαλής στη χρήση των αγαπημένων μου εφαρμογών;

Εδώ είναι που γίνεται δύσκολο. Δυστυχώς, η ευπάθεια CVE-2023-4863 WebP επηρεάζει επίσης έναν άγνωστο αριθμό εφαρμογών. Πρώτον, οποιοδήποτε λογισμικό χρησιμοποιεί τη βιβλιοθήκη libwebp επηρεάζεται από αυτήν την ευπάθεια, πράγμα που σημαίνει ότι κάθε πάροχος θα πρέπει να εκδώσει τις δικές του ενημερώσεις κώδικα ασφαλείας.

Για να γίνουν τα πράγματα πιο περίπλοκα, αυτή η ευπάθεια ενσωματώνεται σε πολλά δημοφιλή πλαίσια που χρησιμοποιούνται για τη δημιουργία εφαρμογών. Σε αυτές τις περιπτώσεις, τα πλαίσια χρειάζονται πρώτα ενημέρωση και, στη συνέχεια, οι πάροχοι λογισμικού που τα χρησιμοποιούν πρέπει να ενημερώσουν στην πιο πρόσφατη έκδοση για να προστατεύσουν τους χρήστες τους. Αυτό καθιστά πολύ δύσκολο για τον μέσο χρήστη να γνωρίζει ποιες εφαρμογές επηρεάζονται και ποιες έχουν αντιμετωπίσει το πρόβλημα.

Οι εφαρμογές που επηρεάζονται περιλαμβάνουν το Microsoft Teams, το Slack, το Skype, το Discord, το Telegram, το 1Password, το Signal, το LibreOffice και τη σουίτα Affinity—μεταξύ πολλών άλλων.

Το 1Password κυκλοφόρησε μια ενημέρωση για την αντιμετώπιση του προβλήματος, αν και η σελίδα ανακοίνωσής του περιλαμβάνει ένα τυπογραφικό λάθος για το αναγνωριστικό ευπάθειας CVE-2023-4863 (που τελειώνει με -36, αντί για -63). Η Apple έχει επίσης κυκλοφόρησε μια ενημερωμένη έκδοση κώδικα ασφαλείας για το macOS που φαίνεται να επιλύει το ίδιο πρόβλημα, αλλά δεν το αναφέρει συγκεκριμένα. Επίσης, Το Slack κυκλοφόρησε μια ενημέρωση ασφαλείας στις 12 Σεπτεμβρίου (έκδοση 4.34.119), αλλά δεν αναφέρεται στο CVE-2023-4863.

Ενημερώστε τα πάντα και προχωρήστε προσεκτικά

Ως χρήστης, το μόνο πράγμα που μπορείτε να κάνετε σχετικά με την ευπάθεια CVE-2023-4863 WebP Codex είναι να ενημερώσετε τα πάντα. Ξεκινήστε με κάθε πρόγραμμα περιήγησης που χρησιμοποιείτε και, στη συνέχεια, προχωρήστε στις πιο σημαντικές εφαρμογές σας.

Ελέγξτε τις πιο πρόσφατες εκδόσεις για κάθε εφαρμογή που μπορείτε και αναζητήστε συγκεκριμένες αναφορές στο CVE-2023-4863 ID. Εάν δεν μπορείτε να βρείτε αναφορές σε αυτήν την ευπάθεια στις πιο πρόσφατες σημειώσεις έκδοσης, εξετάστε το ενδεχόμενο να μεταβείτε σε μια ασφαλή εναλλακτική έως ότου η προτιμώμενη εφαρμογή σας αντιμετωπίσει το πρόβλημα. Εάν αυτό δεν είναι μια επιλογή, ελέγξτε για ενημερώσεις ασφαλείας που κυκλοφόρησαν μετά τις 12 Σεπτεμβρίου και συνεχίστε να ενημερώνεστε μόλις κυκλοφορήσουν οι νέες ενημερώσεις κώδικα ασφαλείας.

Αυτό δεν εγγυάται ότι το CVE-2023-4863 αντιμετωπίζεται, αλλά είναι η καλύτερη εναλλακτική επιλογή που έχετε σε αυτό το σημείο.

WebP: Μια ωραία λύση με μια προειδοποιητική ιστορία

Η Google κυκλοφόρησε το WebP το 2010 ως λύση για την ταχύτερη απόδοση εικόνων σε προγράμματα περιήγησης και άλλες εφαρμογές. Η μορφή παρέχει συμπίεση χωρίς απώλειες και χωρίς απώλειες που μπορεί να μειώσει το μέγεθος των αρχείων εικόνας κατά ~30 τοις εκατό, διατηρώντας παράλληλα αισθητή ποιότητα.

Από άποψη απόδοσης, το WebP είναι μια εξαιρετική λύση για τη μείωση του χρόνου απόδοσης. Ωστόσο, είναι επίσης μια προειδοποιητική ιστορία για την ιεράρχηση μιας συγκεκριμένης πτυχής της απόδοσης έναντι άλλων - δηλαδή, της ασφάλειας. Όταν η μισοψημένη ανάπτυξη συναντά την ευρεία υιοθέτηση, δημιουργεί μια τέλεια καταιγίδα για τρωτά σημεία της πηγής. Και, με τα zero-day exploits να αυξάνονται, εταιρείες όπως η Google πρέπει να βελτιώσουν το παιχνίδι τους ή οι προγραμματιστές θα πρέπει να εξετάσουν περισσότερο τις τεχνολογίες.