Update alles: deze kritieke WebP kwetsbaarheid treft belangrijke browsers en apps
Er is een kritieke kwetsbaarheid in de WebP-codec ontdekt, waardoor grote browsers genoodzaakt zijn om snel beveiligingsupdates uit te brengen. Door het wijdverspreide gebruik van dezelfde WebP-renderingcode worden echter ook talloze apps getroffen, totdat deze beveiligingspatches uitbrengen.
De CVE-2023-4863 kwetsbaarheid verwijst naar een beveiligingslek in een bepaald softwaresysteem dat is geïdentificeerd en een unieke identificatiecode (CVE) heeft gekregen van de cyberbeveiligingsgemeenschap. De ernst van deze kwetsbaarheid, vaak uitgedrukt in een numerieke score die bekend staat als een Common Vulnerability Scoring System (CVSS), geeft aan hoe kritiek het probleem wordt geacht te zijn op basis van verschillende factoren zoals impact, exploiteerbaarheid en complexiteit van mitigatie. Om de kwetsbaarheid CVE-2023-4863 te verhelpen, moeten afhankelijk van de specifieke omstandigheden mogelijk verschillende acties worden ondernomen, waaronder het toepassen van patches of updates van de betreffende softwareleverancier, het implementeren van aanvullende beveiligingsmaatregelen en het controleren op tekenen van compromittering of pogingen tot aanvallen.
Wat is de WebP CVE-2023-4863 kwetsbaarheid?
Het geïdentificeerde beveiligingsprobleem met betrekking tot de WebP-codec wordt CVE-2023 genoemd en is afkomstig van een bepaalde functie binnen het renderproces van de code die bekend staat als “BuildHuffmanTable”. Dit gebrek maakt de codec vatbaar voor potentiële heap buffer overflow aanvallen.
Een geval van heap buffer overflow treedt op wanneer een toepassing een buitensporige hoeveelheid informatie in een aangewezen opslaggebied plaatst en daarbij de capaciteitslimieten overschrijdt. Dit kan leiden tot onbedoelde wijziging van naburige geheugenregio’s en aantasting van de integriteit van het systeem. Bovendien is bekend dat kwaadwillende actoren dergelijke kwetsbaarheden manipuleren om apparaten op afstand te besturen.
Bekwame individuen kunnen hun inspanningen richten op toepassingen waarvan is vastgesteld dat ze gevoelige zwakke plekken in de bufferoverloop hebben door schadelijke informatie te verzenden. Ter illustratie: een individu kan een kwaadaardige WebP-afbeelding introduceren die leidt tot het uitvoeren van uitvoerbare code zodra deze wordt weergegeven in een webbrowser of alternatieve softwaretoepassing op het apparaat van de eindgebruiker.
De verspreiding van de gerapporteerde kwetsbaarheid in de WebP-codec, die algemeen wordt gebruikt op verschillende platforms waaronder webbrowsers, is een groot probleem. De omvang van de impact van deze kwetsbaarheid reikt verder dan alleen de belangrijkste browsers, aangezien talloze toepassingen ook vertrouwen op de getroffen codec om WebP-afbeeldingen weer te geven. Op dit moment blijft de situatie onzeker vanwege de alomtegenwoordige aard van de kwetsbaarheid CVE-2023-4863, waardoor het herstelproces uitdagend en mogelijk chaotisch is.
Is het veilig om mijn favoriete browser te gebruiken?
Bijna alle prominente internetbrowsers hebben updates uitgebracht om dit probleem aan te pakken. Als u dus uw toepassingen upgradet naar de nieuwste versies, kunt u probleemloos op het web blijven surfen. Met name Google, Mozilla, Microsoft, Brave en Tor hebben beveiligingsfixes verspreid, terwijl het waarschijnlijk is dat andere entiteiten dit voorbeeld hebben gevolgd op het moment dat je dit leest.
De patches die dit specifieke beveiligingslek aanpakken zijn onder andere:
De nieuwste versie van Google Chrome, speciaal ontwikkeld voor zowel Mac- als Linux-besturingssystemen, is versie 116.0.5846.187. Ondertussen kunnen gebruikers op Windows gebruikmaken van versie 116.0.5845.187 of 116.0.5845.188.
De browser die op uw computer is geïnstalleerd is Firefox 117.0.1 of Firefox ESR 115.2.1, en de e-mailclient die wordt gebruikt is Thunderbird 115.2.2.
⭐Edge:Edge versie 116.0.1938.81
⭐Brave:Brave versie 1.57.64
⭐Tor:Tor Browser 12.5.4
Heap buffer overflow in WebP.
Als een update van de webbrowser van uw voorkeur het probleem met betrekking tot de geïdentificeerde kwetsbaarheid niet verhelpt, kan het nodig zijn om tijdelijk over te schakelen op een van de eerder genoemde alternatieven, in afwachting van de release van een patch voor uw specifieke browser.
Kan ik mijn favoriete apps veilig gebruiken?
Hier wordt het lastig. Helaas heeft het CVE-2023-4863 WebP-lek ook invloed op een onbekend aantal apps. Ten eerste wordt alle software die gebruik maakt van de libwebp-bibliotheek getroffen door deze kwetsbaarheid, wat betekent dat elke provider zijn eigen beveiligingspatches moet uitbrengen.
Wat de situatie nog ingewikkelder maakt, is dat het bovengenoemde lek zich uitstrekt tot een groot aantal veelgebruikte ontwikkelplatforms die worden gebruikt voor het bouwen van applicaties. Bijgevolg moeten updates worden toegepast op deze frameworks als een voorloper van wijzigingen die worden geïmplementeerd door softwareleveranciers die ze gebruiken, allemaal met de bedoeling om eindgebruikers te beschermen tegen mogelijke schade. Een dergelijke onderneming levert echter aanzienlijke problemen op voor gewone mensen die proberen te onderscheiden welke toepassingen de nodige herstelmaatregelen hebben ondergaan en welke nog steeds vatbaar zijn voor uitbuiting.
De eerder genoemde toepassingen omvatten Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice en de Affinity suite, naast een groot aantal andere die nadelig zijn beïnvloed door dit probleem.
1Password heeft een update uitgebracht om het probleem op te lossen, hoewel de aankondigingspagina een typefout bevat voor de CVE-2023-4863 kwetsbaarheid-ID (eindigt met -36, in plaats van -63). Apple heeft ook een beveiligingspatch uitgebracht voor macOS die hetzelfde probleem lijkt op te lossen, maar er wordt niet specifiek naar verwezen. Ook Slack heeft op 12 september een beveiligingsupdate uitgebracht (versie 4.34.119), maar deze verwijst niet naar CVE-2023-4863.
Update alles en ga voorzichtig te werk
Om als gebruiker de kwetsbaarheid van CVE-2023-4863 WebP Codex aan te pakken, is het noodzakelijk om een update uit te voeren op alle relevante softwarecomponenten. Dit omvat het bijwerken van alle gebruikte browsers, gevolgd door het bijwerken van alle applicaties die essentieel worden geacht.
Bestudeer bij het bekijken van de meest recente versie van elke applicatie de release notes op verwijzingen naar de kwetsbaarheid CVE-2023-4863. Als u dergelijke verwijzingen niet vindt, kan het nodig zijn om tijdelijk een veiliger alternatief te gebruiken in afwachting van de oplossing van de getroffen software. U kunt ook controleren of er beveiligingsupdates van na 12 september zijn uitgebracht en ervoor zorgen dat toekomstige beveiligingspatches voortdurend worden gemonitord.
Hoewel het implementeren van deze oplossing niet garandeert dat CVE-2023-4863 is verholpen, is het onder de huidige omstandigheden wel het meest haalbare alternatief.
WebP: een goede oplossing met een waarschuwend verhaal
Google introduceerde WebP in 2010, een innovatieve benadering voor het versnellen van de weergave van visuele inhoud binnen webbrowsers en verschillende softwareplatforms. Dit formaat biedt zowel lossy als lossless compressietechnieken, die de bestandsgrootte van digitale beelden met ongeveer dertig procent kunnen verminderen zonder afbreuk te doen aan de waarneembare kwaliteit.
WebP laat een opmerkelijke efficiëntie zien in termen van renderingssnelheid, maar de implementatie ervan dient als illustratie van hoe het uitsluitend concentreren op één facet van prestaties kan leiden tot het verwaarlozen van andere cruciale aspecten zoals beveiliging. De overhaaste ontwikkeling en snelle verspreiding van deze technologie heeft geleid tot het blootleggen van talloze kwetsbaarheden. In het licht van de toenemende prevalentie van ‘zero-day’-aanvallen moeten techgiganten zoals Google hun beveiligingsmaatregelen verbeteren of het risico lopen dat hun producten door ontwikkelaars onder de loep worden genomen.