😊All Things N
Wyświetl według tematu Windows macOS Linux Android iPhone Gry Sztuczna inteligencja
😊All Things N

Contents

Zaktualizuj wszystko: ta krytyczna luka w WebP dotyczy głównych przeglądarek i aplikacji

 included in Security Security Risks Online Security Computer Security
   952 words   5 minutes 

Odkryto krytyczną lukę w kodeku WebP, co zmusiło główne przeglądarki do przyspieszenia aktualizacji zabezpieczeń. Jednak powszechne korzystanie z tego samego kodu renderującego WebP oznacza, że niezliczone aplikacje są również narażone, dopóki nie wydadzą poprawek bezpieczeństwa.

Podatność CVE-2023-4863 odnosi się do luki w zabezpieczeniach konkretnego systemu oprogramowania, która została zidentyfikowana i przypisano jej unikalny identyfikator (CVE) przez społeczność cyberbezpieczeństwa. Waga tej luki, często wyrażana za pomocą wyniku liczbowego znanego jako Common Vulnerability Scoring System (CVSS), wskazuje, jak krytyczna jest dana kwestia w oparciu o różne czynniki, takie jak wpływ, możliwość wykorzystania i złożoność łagodzenia skutków. W celu wyeliminowania podatności CVE-2023-4863 może być konieczne podjęcie kilku działań w zależności od konkretnych okoliczności, w tym zastosowanie poprawek lub aktualizacji dostarczonych przez producenta oprogramowania, wdrożenie dodatkowych środków bezpieczeństwa i monitorowanie wszelkich oznak naruszenia bezpieczeństwa lub prób ataków.

Czym jest podatność WebP CVE-2023-4863?

Zidentyfikowana luka w zabezpieczeniach kodeka WebP jest określana jako CVE-2023 i pochodzi z określonej funkcji w procesie renderowania kodu znanej jako “BuildHuffmanTable”. Usterka ta czyni kodek podatnym na potencjalne ataki przepełnienia bufora sterty.

Przypadek przepełnienia bufora sterty ma miejsce, gdy aplikacja zrzuca nadmierną ilość informacji do wyznaczonego obszaru pamięci, przekraczając jego limity pojemności. W konsekwencji może to skutkować niezamierzoną modyfikacją sąsiednich regionów pamięci i naruszeniem integralności systemu. Co więcej, złośliwe podmioty są znane z manipulowania takimi lukami w celu zdalnego kontrolowania docelowych urządzeń.

/pl/images/malicious-code.jpg

Wykwalifikowane osoby mogą skoncentrować swoje wysiłki na aplikacjach zidentyfikowanych jako podatne na luki związane z przepełnieniem bufora, przesyłając szkodliwe informacje. Przykładowo, dana osoba może wprowadzić złośliwą grafikę WebP, która wyzwala wykonanie kodu wykonywalnego po jej wyświetleniu w przeglądarce internetowej lub alternatywnej aplikacji na urządzeniu użytkownika końcowego.

Występowanie zgłoszonej luki w kodeku WebP, który jest powszechnie wykorzystywany na różnych platformach, w tym w przeglądarkach internetowych, stanowi poważne zagrożenie. Zakres wpływu tej luki wykracza poza główne przeglądarki, a liczne aplikacje również polegają na kodeku WebP w celu wyświetlania obrazów WebP. Obecnie sytuacja pozostaje niepewna ze względu na wszechobecny charakter podatności CVE-2023-4863, co sprawia, że proces naprawy jest trudny i potencjalnie nieuporządkowany.

Czy korzystanie z ulubionej przeglądarki jest bezpieczne?

Rzeczywiście, prawie wszystkie znane przeglądarki internetowe wprowadziły aktualizacje, aby rozwiązać ten problem. W związku z tym, pod warunkiem, że zaktualizujesz swoje aplikacje do ich najnowszych wersji, możesz nadal z łatwością poruszać się po sieci. W szczególności, Google, Mozilla, Microsoft, Brave i Tor rozpowszechniły poprawki bezpieczeństwa, podczas gdy jest prawdopodobne, że inne podmioty poszły w ich ślady do czasu zapoznania się z nimi.

Łatki usuwające tę konkretną lukę w zabezpieczeniach obejmują:

Najnowsza wersja Google Chrome, specjalnie dostosowana do systemów operacyjnych Mac i Linux, to wersja 116.0.5846.187. Tymczasem użytkownicy systemu Windows mogą skorzystać z wersji 116.0.5845.187 lub 116.0.5845.188.

Przeglądarka zainstalowana na komputerze to Firefox 117.0.1 lub Firefox ESR 115.2.1, a używany klient poczty e-mail to Thunderbird 115.2.2.

⭐Edge:Edge wersja 116.0.1938.81

⭐Brave:Brave wersja 1.57.64

⭐Tor:Tor Browser 12.5.4

Przepełnienie bufora sterty w WebP.

/pl/images/chrome-update-webp-vulnerability.jpg

Jeśli aktualizacja preferowanej przeglądarki internetowej nie rozwiązuje problemu związanego ze zidentyfikowaną luką, może być konieczne tymczasowe przejście na jedną z alternatyw wymienionych wcześniej, w oczekiwaniu na wydanie poprawki dla konkretnej przeglądarki.

Czy mogę bezpiecznie korzystać z moich ulubionych aplikacji?

W tym miejscu sprawa staje się trudna. Niestety, luka CVE-2023-4863 WebP wpływa również na nieznaną liczbę aplikacji. Po pierwsze, podatność ta dotyczy każdego oprogramowania korzystającego z biblioteki libwebp , co oznacza, że każdy dostawca będzie musiał wydać własne poprawki bezpieczeństwa.

Co jeszcze bardziej komplikuje sytuację, wspomniana luka rozciąga się na wiele powszechnie stosowanych platform programistycznych wykorzystywanych do tworzenia aplikacji. W związku z tym aktualizacje muszą być stosowane do tych frameworków jako prekursor modyfikacji wdrażanych przez producentów oprogramowania, którzy je wykorzystują, a wszystko to w celu ochrony użytkowników końcowych przed potencjalnymi szkodami. Jednak takie przedsięwzięcie stanowi znaczną trudność dla zwykłych osób próbujących rozpoznać, które aplikacje zostały poddane niezbędnym środkom naprawczym, a które nadal są podatne na wykorzystanie.

Wyżej wymienione aplikacje obejmują Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice, a także pakiet Affinity, wśród wielu innych, na które ta sprawa miała negatywny wpływ.

1Password wydało aktualizację , aby rozwiązać ten problem, chociaż jej strona z ogłoszeniem zawiera literówkę w identyfikatorze luki CVE-2023-4863 (kończąc ją na -36, zamiast -63). Apple wydało również poprawkę bezpieczeństwa dla macOS , która wydaje się rozwiązywać ten sam problem, ale nie odnosi się do niego konkretnie. Podobnie, Slack wydał aktualizację zabezpieczeń 12 września (wersja 4.34.119), ale nie odnosi się ona do CVE-2023-4863.

Zaktualizuj wszystko i postępuj ostrożnie

Aby wyeliminować lukę CVE-2023-4863 WebP Codex jako użytkownik, konieczne jest wykonanie aktualizacji wszystkich odpowiednich składników oprogramowania. Obejmuje to aktualizację każdej z używanych przeglądarek, a następnie upewnienie się, że wszystkie aplikacje uznane za niezbędne są również odpowiednio zaktualizowane.

Przeglądając najnowszą wersję każdej aplikacji, należy dokładnie przeanalizować jej informacje o wydaniu pod kątem wszelkich wzmianek o luce CVE-2023-4863. Nieznalezienie takich odniesień może wymagać tymczasowego przyjęcia bezpieczniejszego zamiennika w oczekiwaniu na rozwiązanie oprogramowania, którego dotyczy luka. Alternatywnie, sprawdź, czy po 12 września wydano jakiekolwiek aktualizacje zabezpieczeń i zapewnij ciągłe monitorowanie pod kątem przyszłych poprawek bezpieczeństwa.

Chociaż wdrożenie tego rozwiązania nie gwarantuje, że CVE-2023-4863 zostało naprawione, stanowi ono najbardziej realną alternatywę w obecnych okolicznościach.

WebP: Dobre rozwiązanie z przestrogą

Google wprowadziło WebP w 2010 roku, innowacyjne podejście do przyspieszenia wyświetlania treści wizualnych w przeglądarkach internetowych i różnych platformach oprogramowania. Format ten oferuje zarówno stratne, jak i bezstratne techniki kompresji, które mogą potencjalnie zmniejszyć rozmiar pliku cyfrowego obrazu o około trzydzieści procent bez uszczerbku dla jego postrzegalnej jakości.

WebP wykazuje znaczną wydajność pod względem szybkości renderowania, ale jego implementacja służy jako ilustracja tego, jak koncentracja wyłącznie na jednym aspekcie wydajności może prowadzić do zaniedbania innych kluczowych aspektów, takich jak bezpieczeństwo. Pośpieszny rozwój i szybkie rozpowszechnianie tej technologii doprowadziło do ujawnienia licznych luk w zabezpieczeniach. W świetle coraz częstszych ataków typu zero-day, giganci technologiczni tacy jak Google muszą wzmocnić swoje środki bezpieczeństwa lub zaryzykować poddanie swoich produktów wzmożonej kontroli ze strony deweloperów.

Updated on 2023-09-19
Back | Home