Atualizar tudo: esta vulnerabilidade crítica do WebP afecta os principais navegadores e aplicações
Foi descoberta uma vulnerabilidade crítica no codec WebP, o que obrigou os principais navegadores a acelerar as actualizações de segurança. No entanto, a utilização generalizada do mesmo código de renderização WebP significa que inúmeras aplicações também são afectadas, até que sejam lançadas correcções de segurança.
A vulnerabilidade CVE-2023-4863 refere-se a uma falha de segurança num determinado sistema de software que foi identificado e ao qual foi atribuído um identificador único (CVE) pela comunidade de cibersegurança. A gravidade desta vulnerabilidade, frequentemente expressa através de uma pontuação numérica conhecida como Common Vulnerability Scoring System (CVSS), indica o grau de criticidade do problema com base em vários factores, como o impacto, a capacidade de exploração e a complexidade da atenuação. Para resolver a vulnerabilidade CVE-2023-4863, podem ser necessárias várias acções, dependendo das circunstâncias específicas, incluindo a aplicação de correcções ou actualizações fornecidas pelo fornecedor de software afetado, a implementação de medidas de segurança adicionais e a monitorização de quaisquer sinais de comprometimento ou tentativa de ataque.
O que é a vulnerabilidade WebP CVE-2023-4863?
A preocupação de segurança identificada relativamente ao codec WebP é referida como CVE-2023, e tem origem numa função específica dentro do processo de renderização do código conhecido como “BuildHuffmanTable”. Esta falha torna o codec suscetível a potenciais ataques de sobrecarga de buffer heap.
Uma instância de buffer overflow heap ocorre sempre que uma aplicação descarrega uma quantidade excessiva de informação numa área de armazenamento designada para além dos seus limites de capacidade. Consequentemente, isto pode resultar numa modificação não intencional das regiões de memória vizinhas e comprometer a integridade do sistema. Além disso, sabe-se que agentes maliciosos manipulam essas vulnerabilidades para controlar remotamente os dispositivos visados.
Indivíduos habilidosos podem concentrar os seus esforços em aplicações identificadas como tendo fragilidades susceptíveis de transbordamento de memória intermédia, transmitindo informações prejudiciais. A título de exemplo, um indivíduo pode introduzir um gráfico WebP malévolo que desencadeia a execução de código executável quando é apresentado num navegador Web ou numa aplicação de software alternativa no dispositivo do utilizador final.
A prevalência da vulnerabilidade comunicada no codec WebP, que é habitualmente utilizado em várias plataformas, incluindo os navegadores Web, constitui uma preocupação significativa. A extensão do impacto desta vulnerabilidade vai para além dos principais navegadores, com numerosas aplicações que também dependem do codec afetado para apresentar imagens WebP. Atualmente, a situação permanece incerta devido à natureza generalizada da vulnerabilidade CVE-2023-4863, tornando o processo de correção difícil e potencialmente desordenado.
É seguro utilizar o meu navegador favorito?
De facto, quase todos os navegadores de Internet proeminentes lançaram actualizações para resolver este problema. Como tal, desde que actualize as suas aplicações para as versões mais recentes, pode continuar a navegar na Web com facilidade. Nomeadamente, a Google, a Mozilla, a Microsoft, a Brave e a Tor distribuíram correcções de segurança, sendo provável que outras entidades tenham seguido o exemplo até ao momento da sua leitura.
As correcções que abordam esta falha de segurança específica incluem:
A última versão do Google Chrome, especificamente concebida para os sistemas operativos Mac e Linux, é a versão 116.0.5846.187. Entretanto, os utilizadores do Windows podem beneficiar da versão 116.0.5845.187 ou 116.0.5845.188.
O browser instalado no seu computador é o Firefox 117.0.1 ou o Firefox ESR 115.2.1, e o cliente de e-mail utilizado é o Thunderbird 115.2.2.
⭐Edge:Edge versão 116.0.1938.81
⭐Brave:Brave versão 1.57.64
⭐Tor:Tor Browser 12.5.4
Estouro de buffer de heap no WebP.
Se uma atualização do seu navegador preferido não resolver o problema relacionado com a vulnerabilidade identificada, poderá ser necessário fazer uma transição temporária para uma das alternativas mencionadas anteriormente, enquanto se aguarda o lançamento de um patch para o seu navegador específico.
É seguro utilizar as minhas aplicações favoritas?
É aqui que as coisas ficam complicadas. Infelizmente, a vulnerabilidade CVE-2023-4863 WebP também afecta um número desconhecido de aplicações. Em primeiro lugar, qualquer software que utilize a biblioteca libwebp é afetado por esta vulnerabilidade, o que significa que cada fornecedor terá de lançar os seus próprios patches de segurança.
Para tornar a situação ainda mais complexa, a falha acima mencionada estende-se a várias plataformas de desenvolvimento amplamente utilizadas na construção de aplicações. Consequentemente, as actualizações devem ser aplicadas a estas estruturas como um precursor das modificações implementadas pelos fornecedores de software que as utilizam, tudo com a intenção de proteger os utilizadores finais de potenciais danos. No entanto, tal tarefa apresenta uma dificuldade considerável para os indivíduos comuns que tentam discernir quais as aplicações que foram sujeitas às medidas de correção necessárias e quais as que permanecem susceptíveis de exploração.
As aplicações acima mencionadas abrangem o Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice, bem como a suite Affinity, entre um vasto conjunto de outras que foram afectadas negativamente por este problema.
1Password lançou uma atualização para resolver o problema, embora sua página de anúncio inclua um erro de digitação para o ID da vulnerabilidade CVE-2023-4863 (terminando com -36, em vez de -63). A Apple também lançou um patch de segurança para o macOS que parece resolver o mesmo problema, mas não faz referência a ele especificamente. Da mesma forma, o Slack lançou uma atualização de segurança em 12 de setembro (versão 4.34.119), mas não faz referência ao CVE-2023-4863.
Atualize tudo e proceda com cuidado
Para resolver a vulnerabilidade CVE-2023-4863 do WebP Codex como usuário, é necessário realizar uma atualização em todos os componentes de software relevantes. Isto inclui a atualização de cada um dos browsers utilizados e, em seguida, assegurar que todas as aplicações consideradas essenciais são também actualizadas em conformidade.
Ao analisar a versão mais recente de cada aplicação, examine as notas de lançamento para ver se há alguma menção à vulnerabilidade CVE-2023-4863. Se não conseguir localizar essas referências, poderá ser necessário adotar temporariamente um substituto mais seguro enquanto se aguarda a resolução do software afetado. Em alternativa, verifique se foram emitidas actualizações de segurança após 12 de setembro e assegure a monitorização contínua de futuros patches de segurança.
Embora a implementação desta solução não garanta que o CVE-2023-4863 tenha sido resolvido, representa a alternativa mais viável nas circunstâncias actuais.
WebP: uma boa solução com um conto de advertência
O Google introduziu o WebP em 2010, uma abordagem inovadora para acelerar a exibição de conteúdo visual em navegadores da Web e várias plataformas de software. Este formato oferece técnicas de compressão com e sem perdas, que têm o potencial de diminuir o tamanho dos ficheiros de imagens digitais em cerca de trinta por cento, sem comprometer a sua qualidade percetível.
O WebP demonstra uma eficiência notável em termos de velocidade de renderização, mas a sua implementação serve como ilustração de como a concentração exclusiva numa faceta do desempenho pode levar a negligenciar outros aspectos cruciais, como a segurança. O desenvolvimento apressado e a rápida disseminação desta tecnologia resultaram na exposição de numerosas vulnerabilidades. Tendo em conta a crescente prevalência de ataques de dia zero, os gigantes da tecnologia como a Google têm de melhorar as suas medidas de segurança ou arriscam-se a que os seus produtos sejam sujeitos a um maior escrutínio por parte dos programadores.