Kemas Kini Semua: Kerentanan WebP Kritikal Ini Mempengaruhi Penyemak Imbas dan Apl Utama

Kemas Kini Semua: Kerentanan WebP Kritikal Ini Mempengaruhi Penyemak Imbas dan Apl Utama
Pembaca seperti anda membantu menyokong MUO. Apabila anda membuat pembelian menggunakan pautan di tapak kami, kami mungkin mendapat komisen ahli gabungan. Baca Lagi.

Kerentanan kritikal dalam Codec WebP telah ditemui, memaksa pelayar utama untuk mempercepatkan kemas kini keselamatan. Walau bagaimanapun, penggunaan meluas kod pemaparan WebP yang sama bermakna banyak apl turut terjejas, sehingga ia mengeluarkan tampung keselamatan.





Video MUO pada hari itu SCROLL UNTUK MENERUSKAN KANDUNGAN

Jadi apakah kelemahan CVE-2023-4863? teruk sangat ke? Dan apa yang anda boleh lakukan?



Apakah Kerentanan WebP CVE-2023-4863?

Isu dalam Codec WebP telah dinamakan CVE-2023-4863. Akarnya terletak dalam fungsi khusus kod pemaparan WebP ('BuildHuffmanTable'), menjadikan codec terdedah kepada timbunan penimbal melimpah .





Lebihan penimbal timbunan berlaku apabila atur cara menulis lebih banyak data ke penimbal memori daripada yang direka untuk disimpan. Apabila ini berlaku, ia berpotensi menimpa memori bersebelahan dan data yang rosak. Lebih teruk lagi, penggodam boleh mengeksploitasi limpahan penimbal timbunan untuk mengambil alih sistem dan peranti dari jauh.

Antara muka baris arahan yang memaparkan kod berniat jahat

Penggodam boleh menyasarkan apl yang diketahui mempunyai kelemahan limpahan penimbal dan menghantar data berniat jahat kepada mereka. Contohnya, mereka boleh memuat naik imej WebP berniat jahat yang menggunakan kod pada peranti pengguna apabila mereka melihatnya dalam penyemak imbas mereka atau apl lain.



Jenis kelemahan yang wujud dalam kod seperti yang digunakan secara meluas seperti WebP Codec adalah isu yang serius. Selain daripada pelayar utama, banyak apl menggunakan codec yang sama untuk memaparkan imej WebP. Pada peringkat ini, kerentanan CVE-2023-4863 terlalu meluas untuk kita mengetahui betapa besarnya sebenarnya dan pembersihan akan menjadi kucar-kacir.

Adakah Selamat Menggunakan Pelayar Kegemaran Saya?

Ya, kebanyakan penyemak imbas utama telah mengeluarkan kemas kini untuk menangani isu ini. Jadi, selagi anda mengemas kini apl anda kepada versi terkini, anda boleh menyemak imbas web seperti biasa. Google, Mozilla, Microsoft, Brave dan Tor semuanya telah mengeluarkan patch keselamatan dan yang lain mungkin telah melakukannya pada masa anda membaca ini.



Kemas kini yang mengandungi pembetulan untuk kerentanan khusus ini ialah:

pasang linux pada chromebook tanpa crouton
  • Chrome: Versi 116.0.5846.187 (Mac / Linux); versi 116.0.5845.187/.188 (Windows)
  • Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
  • Hujung: Versi Edge 116.0.1938.81
  • berani: Berani versi 1.57.64
  • Tor: Pelayar Tor 12.5.4

Jika anda menggunakan penyemak imbas yang berbeza, semak kemas kini terkini dan cari rujukan khusus kepada kerentanan limpahan penimbal timbunan CVE-2023-4863 dalam WebP. Contohnya, pengumuman kemas kini Chrome termasuk rujukan berikut: 'CVE-2023-4863 Kritikal: Limpahan penimbal timbunan dalam WebP'.



Nota kemas kini Chrome merujuk tampung keselamatan untuk kerentanan WebP CVE-2023-4863

Jika anda tidak menemui rujukan kepada kerentanan ini dalam versi terkini penyemak imbas kegemaran anda, tukar kepada penyemak imbas yang disenaraikan di atas sehingga pembetulan dikeluarkan untuk penyemak imbas pilihan anda.

Adakah Saya Selamat Menggunakan Apl Kegemaran Saya?

Di sinilah ia menjadi rumit. Malangnya, kerentanan WebP CVE-2023-4863 turut mempengaruhi bilangan apl yang tidak diketahui. Pertama, sebarang perisian menggunakan perpustakaan libwebp dipengaruhi oleh kerentanan ini, yang bermaksud setiap pembekal perlu mengeluarkan patch keselamatan mereka sendiri.

Untuk menjadikan perkara lebih rumit, kerentanan ini dimasukkan ke dalam banyak rangka kerja popular yang digunakan untuk membina apl. Dalam keadaan ini, rangka kerja perlu dikemas kini terlebih dahulu dan, kemudian, pembekal perisian yang menggunakannya perlu mengemas kini kepada versi terkini untuk melindungi pengguna mereka. Ini menyukarkan pengguna biasa untuk mengetahui apl mana yang terjejas dan yang mana telah menangani isu tersebut.

Seperti yang ditemui oleh Alex Ivanovs di Stack Diary , apl yang terjejas termasuk Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice dan suite Affinity—antara banyak lagi.

cara menukar akaun google lalai anda

1Password telah mengeluarkan kemas kini untuk menangani isu tersebut, walaupun halaman pengumumannya termasuk kesilapan menaip untuk ID kerentanan CVE-2023-4863 (mengakhirinya dengan -36, bukannya -63). Apple juga telah mengeluarkan patch keselamatan untuk macOS yang nampaknya menyelesaikan masalah yang sama, tetapi ia tidak merujuknya secara khusus. Begitu juga, Slack mengeluarkan kemas kini keselamatan pada 12 September (versi 4.34.119) tetapi tidak merujuk CVE-2023-4863.

Kemas kini Semuanya dan Teruskan Berhati-hati

Sebagai pengguna, satu-satunya perkara yang boleh anda lakukan tentang kelemahan CVE-2023-4863 WebP Codex ialah mengemas kini segala-galanya. Mulakan dengan setiap penyemak imbas yang anda gunakan, dan kemudian gunakan apl anda yang paling penting.

Semak versi keluaran terkini untuk setiap apl yang anda boleh dan cari rujukan khusus kepada ID CVE-2023-4863. Jika anda tidak dapat mencari rujukan kepada kerentanan ini dalam nota keluaran terkini, pertimbangkan untuk beralih kepada alternatif selamat sehingga apl pilihan anda menangani isu tersebut. Jika ini bukan pilihan, semak kemas kini keselamatan yang dikeluarkan selepas 12 September dan teruskan mengemas kini sebaik sahaja tampung keselamatan baharu dikeluarkan.

Ini tidak menjamin CVE-2023-4863 sedang ditangani tetapi ia adalah pilihan undur terbaik yang anda ada pada ketika ini.

WebP: Penyelesaian Baik Dengan Kisah Berhati-hati

Google melancarkan WebP pada tahun 2010 sebagai penyelesaian untuk memaparkan imej dengan lebih pantas dalam penyemak imbas dan aplikasi lain. Format ini menyediakan pemampatan lossy dan lossless yang boleh mengurangkan saiz fail imej sebanyak ~30 peratus sambil mengekalkan kualiti yang boleh dilihat.

Dari segi prestasi, WebP ialah penyelesaian yang baik untuk mengurangkan masa pemaparan. Walau bagaimanapun, ia juga merupakan kisah amaran untuk mengutamakan aspek prestasi tertentu berbanding yang lain—iaitu keselamatan. Apabila pembangunan separuh masak memenuhi penerimaan yang meluas, ia mewujudkan ribut yang sempurna untuk kelemahan sumber. Dan, dengan eksploitasi sifar hari yang semakin meningkat, syarikat seperti Google perlu meningkatkan permainan mereka atau pembangun perlu meneliti teknologi lebih lanjut.