😊All Things N
Visa efter ämne Windows macOS Linux Android iPhone Spel Artificiell intelligens
😊All Things N

Contents

Uppdatera allt: Denna kritiska WebP-sårbarhet påverkar större webbläsare och appar

 included in Security Security Risks Online Security Computer Security
   978 words   5 minutes 

En kritisk sårbarhet i WebP Codec har upptäckts, vilket tvingar stora webbläsare att påskynda säkerhetsuppdateringar. Den utbredda användningen av samma WebP-renderingskod innebär dock att otaliga appar också påverkas, tills de släpper säkerhetsuppdateringar.

CVE-2023-4863-sårbarheten avser en säkerhetsbrist i ett visst programvarusystem som har identifierats och tilldelats en unik identifierare (CVE) av cybersäkerhetsgemenskapen. Sårbarhetens allvarlighetsgrad, ofta uttryckt genom en numerisk poäng som kallas CVSS (Common Vulnerability Scoring System), anger hur kritisk frågan anses vara baserat på olika faktorer som påverkan, exploaterbarhet och komplexitet av mildring. För att hantera sårbarheten CVE-2023-4863 kan flera åtgärder behöva vidtas beroende på de specifika omständigheterna, inklusive att tillämpa korrigeringar eller uppdateringar som tillhandahålls av den berörda programvaruleverantören, genomföra ytterligare säkerhetsåtgärder och övervaka eventuella tecken på kompromisser eller försök till attacker.

Vad är WebP CVE-2023-4863-sårbarheten?

Det identifierade säkerhetsproblemet som rör WebP Codec kallas CVE-2023 och härrör från en särskild funktion i kodens renderingsprocess som kallas “BuildHuffmanTable”. Denna brist gör codec mottaglig för potentiella heap buffer overflow-attacker.

Ett heap buffer overflow inträffar när en applikation släpper ut en överdriven mängd information i ett avsett lagringsområde utöver dess kapacitetsgränser. Detta kan leda till oavsiktlig modifiering av närliggande minnesregioner och att systemets integritet äventyras. Dessutom är det känt att illvilliga aktörer utnyttjar sådana sårbarheter för att fjärrstyra enheter.

/sv/images/malicious-code.jpg

Skickliga personer kan fokusera sina ansträngningar på applikationer som har identifierats som känsliga buffer overflow-svagheter genom att överföra skadlig information. Exempelvis kan en individ introducera en skadlig WebP-grafik som utlöser exekvering av körbar kod när den visas i en webbläsare eller alternativ programvaruapplikation på slutanvändarens enhet.

Förekomsten av den rapporterade sårbarheten i WebP Codec, som är vanligt förekommande på olika plattformar inklusive webbläsare, utgör ett betydande problem. Effekten av denna sårbarhet sträcker sig längre än bara till större webbläsare, med många applikationer som också förlitar sig på den berörda codecen för att visa WebP-bilder. För närvarande är situationen fortfarande osäker på grund av CVE-2023-4863-sårbarhetens genomgripande natur, vilket gör saneringsprocessen utmanande och potentiellt oordnad.

Är det säkert att använda min favoritwebbläsare?

Faktum är att nästan alla framstående webbläsare har lanserat uppdateringar för att hantera detta problem. Förutsatt att du uppgraderar dina applikationer till deras senaste versioner kan du fortsätta att navigera på webben med lätthet. I synnerhet Google, Mozilla, Microsoft, Brave och Tor har distribuerat säkerhetsfixar, medan det är troligt att andra enheter har följt efter vid tidpunkten för din genomläsning.

De patchar som adresserar denna specifika säkerhetsbrist inkluderar:

Den senaste versionen av Google Chrome, som är särskilt anpassad för både Mac- och Linux-operativsystem, är version 116.0.5846.187. Under tiden kan användare på Windows dra nytta av antingen version 116.0.5845.187 eller 116.0.5845.188.

Den webbläsare som är installerad på din dator är antingen Firefox 117.0.1 eller Firefox ESR 115.2.1, och den e-postklient som används är Thunderbird 115.2.2.

⭐Edge:Edge version 116.0.1938.81

⭐Brave:Brave version 1.57.64

⭐Tor:Tor Browser 12.5.4

Heap buffer overflow i WebP.

/sv/images/chrome-update-webp-vulnerability.jpg

Om en uppdatering av din föredragna webbläsare inte åtgärdar problemet med den identifierade sårbarheten kan det vara nödvändigt att tillfälligt övergå till ett av de alternativ som nämnts tidigare, i väntan på att en korrigering för din specifika webbläsare släpps.

Är det säkert att använda mina favoritappar?

Det är nu det blir knepigt. Tyvärr påverkar WebP-sårbarheten CVE-2023-4863 även ett okänt antal appar. För det första påverkas all programvara som använder libwebp-biblioteket av denna sårbarhet, vilket innebär att varje leverantör måste släppa sina egna säkerhetsuppdateringar.

Situationen kompliceras ytterligare av att den ovan nämnda bristen finns i många allmänt använda utvecklingsplattformar som används för att bygga applikationer. Följaktligen måste uppdateringar tillämpas på dessa ramverk som en föregångare till ändringar som genomförs av programvaruleverantörer som använder dem, allt i syfte att skydda slutanvändare från potentiell skada. Ett sådant åtagande innebär dock betydande svårigheter för vanliga individer som försöker urskilja vilka applikationer som har utsatts för nödvändiga åtgärder och vilka som fortfarande är mottagliga för utnyttjande.

De ovannämnda applikationerna omfattar Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice samt Affinity-sviten, bland ett stort antal andra som har påverkats negativt av detta problem.

1Password har släppt en uppdatering för att åtgärda problemet, men dess annonssida innehåller ett stavfel för sårbarhets-ID:t CVE-2023-4863 (det slutar med -36, istället för -63). Apple har också släppt en säkerhetsuppdatering för macOS som verkar lösa samma problem, men den refererar inte specifikt till det. På samma sätt släppte Slack en säkerhetsuppdatering den 12 september (version 4.34.119) men refererar inte till CVE-2023-4863.

Uppdatera allt och gå försiktigt fram

För att kunna åtgärda sårbarheten CVE-2023-4863 WebP Codex som användare är det nödvändigt att utföra en uppdatering av alla relevanta programvarukomponenter. Detta inkluderar uppdatering av alla webbläsare som används, följt av att säkerställa att alla applikationer som anses vara väsentliga också uppdateras i enlighet därmed.

När du granskar den senaste versionen av varje applikation, granska dess release notes för eventuella omnämnanden av CVE-2023-4863-sårbarheten. Om sådana hänvisningar inte hittas kan det bli nödvändigt att tillfälligt använda en säkrare ersättare i väntan på att den berörda programvaran åtgärdas. Alternativt kan man kontrollera om några säkerhetsuppdateringar efter den 12 september har utfärdats och säkerställa kontinuerlig övervakning av framtida säkerhetsuppdateringar.

Även om implementeringen av denna lösning inte garanterar att CVE-2023-4863 har åtgärdats, utgör den ditt mest hållbara alternativ under rådande omständigheter.

WebP: En bra lösning med en varningssignal

Google introducerade WebP 2010, en innovativ metod för att påskynda visningen av visuellt innehåll i webbläsare och olika programvaruplattformar. Formatet erbjuder både förlustbaserad och förlustfri komprimeringsteknik, som kan minska filstorleken för digitala bilder med cirka 30 procent utan att kompromissa med den uppfattbara kvaliteten.

WebP är anmärkningsvärt effektivt när det gäller renderingshastighet, men dess implementering tjänar som en illustration av hur koncentration på enbart en aspekt av prestanda kan leda till att andra viktiga aspekter försummas, till exempel säkerhet. Den hastiga utvecklingen och snabba spridningen av denna teknik har lett till att många sårbarheter har uppdagats. Mot bakgrund av den ökande förekomsten av nolldagsattacker måste teknikjättar som Google förbättra sina säkerhetsåtgärder eller riskera att deras produkter utsätts för ökad granskning av utvecklare.

Updated on 2023-09-19
Back | Home