Contents

更新所有內容:這個嚴重的 WebP 漏洞影響主要瀏覽器和應用程式

WebP 編解碼器中的一個嚴重漏洞已被發現,迫使主要瀏覽器快速追蹤安全性更新。然而,相同 WebP 渲染程式碼的廣泛使用意味著無數應用程式也會受到影響,直到它們發布安全性修補程式為止。

CVE-2023-4863 漏洞是指特定軟體系統中的安全缺陷,該缺陷已被網路安全社群識別並分配了唯一識別碼 (CVE)。此漏洞的嚴重性通常透過稱為通用漏洞評分系統 (CVSS) 的數字分數來表示,表明根據影響、可利用性和緩解複雜性等各種因素,該問題被認為有多嚴重。為了解決 CVE-2023-4863 漏洞,可能需要根據具體情況採取多項措施,包括應用受影響的軟體供應商提供的修補程式或更新、實施額外的安全措施以及監控任何妥協或破壞的跡象。嘗試攻擊。

什麼是 WebP CVE-2023-4863 漏洞?

已確定的與 WebP 編解碼器相關的安全性問題稱為 CVE-2023,源自於程式碼渲染過程中稱為「BuildHuffmanTable」的特定功能。此缺陷使編解碼器容易受到潛在的堆緩衝區溢位攻擊。

每當應用程式向指定儲存區域釋放超出其容量限制的過量資訊時,就會發生堆緩衝區溢位的情況。因此,這可能會導致相鄰記憶體區域的意外修改並損害系統完整性。此外,眾所周知,惡意行為者會利用此類漏洞來遠端控制目標設備。

/bc/images/malicious-code.jpg

技術人員可以將他們的精力集中在透過傳輸有害資訊而被識別為具有易受影響的緩衝區溢出弱點的應用程式上。舉例來說,個人可能會引入惡意的 WebP 圖形,該圖形在 Web 瀏覽器或最終用戶裝置上的替代軟體應用程式中顯示時會觸發可執行程式碼執行。

WebP 編解碼器通常在包括網頁瀏覽器在內的各種平台上使用,所報告的漏洞的普遍存在引起了人們的嚴重擔憂。此漏洞的影響範圍不僅限於主要瀏覽器,許多應用程式也依賴受影響的編解碼器來顯示 WebP 映像。目前,由於 CVE-2023-4863 漏洞的普遍性,情況仍存在不確定性,使得修復過程充滿挑戰且可能出現混亂。

使用我最喜歡的瀏覽器安全嗎?

事實上,幾乎所有著名的網路瀏覽器都推出了更新來解決這個問題。因此,只要您將應用程式升級到最新版本,您就可以繼續輕鬆地瀏覽網路。值得注意的是,Google、Mozilla、微軟、Brave 和 Tor 已經發布了安全修復程序,而在您閱讀時其他實體很可能已經效仿。

解決此特定安全缺陷的修補程式包括:

專為 Mac 和 Linux 作業系統量身打造的最新版 Google Chrome 版本為 116.0.5846.187。同時,Windows 使用者可以受益於版本 116.0.5845.187 或 116.0.5845.188。

您電腦上安裝的瀏覽器是 Firefox 117.0.1 或 Firefox ESR 115.2.1,所使用的電子郵件用戶端是 Thunderbird 115.2.2。

⭐Edge:Edge版本116.0.1938.81

⭐勇敢:勇敢版本1.57.64

⭐Tor:Tor 瀏覽器 12.5.4

WebP 中的堆緩衝區溢位。

/bc/images/chrome-update-webp-vulnerability.jpg

如果您的首選 Web 瀏覽器的更新無法解決與已識別漏洞相關的問題,則可能需要暫時過渡到前面提到的替代方案之一,等待針對您的特定瀏覽器發布修補程式。

我可以安全地使用我最喜歡的應用程式嗎?

這就是棘手的地方。不幸的是,CVE-2023-4863 WebP 漏洞也影響了未知數量的應用程式。首先,任何使用libwebp庫的軟體都會受到此漏洞的影響,這意味著每個提供者都需要發布自己的安全性修補程式。

使情況變得更加複雜的是,上述缺陷擴展到了建立應用程式時使用的許多廣泛使用的開發平台。因此,必須對這些框架套用更新,作為使用這些框架的軟體供應商實施修改的先導,所有這些都是為了保護最終用戶免受潛在傷害。然而,對於試圖辨別哪些應用程式已經受到必要的補救措施以及哪些應用程式仍然容易被利用的普通個人來說,這樣的工作帶來了相當大的困難。

上述應用程式包括 Microsoft Teams、Slack、Skype、Discord、Telegram、1Password、Signal、LibreOffice 以及 Affinity 套件,以及受此問題影響的眾多其他應用程式。

1Password 已發布更新 來解決該問題,儘管其公告頁麵包含 CVE-2023-4863 漏洞 ID 的拼寫錯誤(以-36 結尾) ,而不是-63)。 Apple 也發布了 macOS 安全補丁,似乎可以解決相同的問題,但沒有具體提及。同樣,Slack 於 9 月 12 日發布了安全性更新(版本 4.34.119),但未引用 CVE-2023-4863。

更新所有內容並謹慎進行

為了作為使用者解決CVE-2023-4863 WebP Codex漏洞,有必要對所有相關軟體元件執行更新。這包括更新所使用的每個瀏覽器,然後確保任何必要的應用程式也相應更新。

在查看每個應用程式的最新版本時,請仔細檢查其發行說明中是否提及 CVE-2023-4863 漏洞。如果無法找到此類引用,則可能需要在等待受影響軟體的解決方案期間暫時採用更安全的替代品。或者,驗證是否已發布 9 月 12 日之後的任何安全性更新,並確保持續監控未來的安全性修補程式。

雖然實施此解決方案並不能確保 CVE-2023-4863 得到修復,但它代表了當前情況下最可行的替代方案。

WebP:一個具有警示意義的優秀解決方案

Google 於 2010 年推出了 WebP,這是一種加速網路瀏覽器和各種軟體平台中視覺內容顯示的創新方法。這種格式提供有損和無損壓縮技術,有可能將數位影像的檔案大小減少約百分之三十,而不會影響其可感知的品質。

WebP 在渲染速度方面表現出了顯著的效率,但它的實現說明了僅關注效能的一個方面可能會導致忽略其他關鍵方面(例如安全性)。這項技術的倉促開發和快速傳播導致了許多漏洞的暴露。鑑於零時差攻擊日益普遍,Google等科技巨頭必須加強安全措施,否則其產品可能會受到開發人員的嚴格審查。