😊All Things N
Xem theo chủ đề Windows macOS Linux Android iPhone Trò chơi Trí tuệ nhân tạo
😊All Things N

Contents

Cập nhật mọi thứ: Lỗ hổng WebP nghiêm trọng này ảnh hưởng đến các trình duyệt và ứng dụng chính

 included in Security Security Risks Online Security Computer Security
   1602 words   8 minutes 

Một lỗ hổng nghiêm trọng trong WebP Codec đã được phát hiện, buộc các trình duyệt lớn phải nhanh chóng cập nhật bảo mật. Tuy nhiên, việc sử dụng rộng rãi cùng một mã kết xuất WebP có nghĩa là vô số ứng dụng cũng bị ảnh hưởng cho đến khi chúng phát hành các bản vá bảo mật.

Lỗ hổng CVE-2023-4863 đề cập đến một lỗ hổng bảo mật trong một hệ thống phần mềm cụ thể đã được cộng đồng an ninh mạng xác định và gán một mã định danh duy nhất (CVE). Mức độ nghiêm trọng của lỗ hổng này, thường được thể hiện thông qua điểm số được gọi là Hệ thống chấm điểm lỗ hổng bảo mật phổ biến (CVSS), cho biết mức độ nghiêm trọng của vấn đề dựa trên nhiều yếu tố như tác động, khả năng khai thác và mức độ phức tạp của việc giảm nhẹ. Để giải quyết lỗ hổng CVE-2023-4863, có thể cần thực hiện một số hành động tùy theo trường hợp cụ thể, bao gồm áp dụng các bản vá hoặc bản cập nhật do nhà cung cấp phần mềm bị ảnh hưởng cung cấp, triển khai các biện pháp bảo mật bổ sung và giám sát mọi dấu hiệu xâm phạm hoặc đã cố gắng tấn công.

Lỗ hổng WebP CVE-2023-4863 là gì?

Mối lo ngại bảo mật đã được xác định liên quan đến WebP Codec được gọi là CVE-2023 và bắt nguồn từ một chức năng cụ thể trong quy trình kết xuất mã có tên là “BuildHuffmanTable”. Lỗ hổng này khiến codec dễ bị tấn công tràn bộ đệm heap.

Một trường hợp tràn bộ đệm heap xảy ra bất cứ khi nào một ứng dụng xả quá nhiều thông tin vào một vùng lưu trữ được chỉ định vượt quá giới hạn dung lượng của nó. Do đó, điều này có thể dẫn đến việc sửa đổi ngoài ý muốn các vùng bộ nhớ lân cận và ảnh hưởng đến tính toàn vẹn của hệ thống. Hơn nữa, các tác nhân độc hại đã được biết là đã thao túng các lỗ hổng như vậy để điều khiển từ xa các thiết bị mục tiêu.

/vi/images/malicious-code.jpg

Những cá nhân có kỹ năng có thể tập trung nỗ lực vào các ứng dụng được xác định là có điểm yếu dễ bị tràn bộ đệm bằng cách truyền thông tin có hại. Một cách minh họa, một cá nhân có thể giới thiệu một đồ họa WebP độc hại kích hoạt việc thực thi mã thực thi khi nó hiển thị trong trình duyệt web hoặc ứng dụng phần mềm thay thế trên thiết bị của người dùng cuối.

Sự phổ biến của lỗ hổng được báo cáo trong WebP Codec, vốn thường được sử dụng trên nhiều nền tảng khác nhau, bao gồm cả trình duyệt web, gây ra mối lo ngại đáng kể. Mức độ ảnh hưởng của lỗ hổng này không chỉ dừng lại ở các trình duyệt chính mà nhiều ứng dụng cũng dựa vào codec bị ảnh hưởng để hiển thị hình ảnh WebP. Hiện tại, tình hình vẫn chưa chắc chắn do tính chất phổ biến của lỗ hổng CVE-2023-4863, khiến quá trình khắc phục trở nên khó khăn và có khả năng gây mất trật tự.

Có an toàn khi sử dụng trình duyệt yêu thích của tôi không?

Thật vậy, gần như tất cả các trình duyệt internet nổi bật đều đã tung ra các bản cập nhật để giải quyết vấn đề này. Do đó, miễn là bạn nâng cấp ứng dụng của mình lên phiên bản mới nhất, bạn có thể tiếp tục điều hướng web một cách dễ dàng. Đáng chú ý là Google, Mozilla, Microsoft, Brave và Tor đã phân phối các bản sửa lỗi bảo mật, trong khi có khả năng các đơn vị khác cũng đã làm theo vào thời điểm bạn xem xét.

Các bản vá giải quyết lỗ hổng bảo mật cụ thể này bao gồm:

Bản phát hành mới nhất của Google Chrome, được thiết kế riêng cho cả hệ điều hành Mac và Linux, là phiên bản 116.0.5846.187. Trong khi đó, người dùng trên Windows có thể hưởng lợi từ phiên bản 116.0.5845.187 hoặc 116.0.5845.188.

Trình duyệt được cài đặt trên máy tính của bạn là Firefox 117.0.1 hoặc Firefox ESR 115.2.1 và ứng dụng email khách đang được sử dụng là Thunderbird 115.2.2.

⭐Edge:Phiên bản Edge 116.0.1938.81

⭐Brave: Phiên bản Brave 1.57.64

⭐Tor:Tor Browser 12.5.4

Tràn bộ đệm heap trong WebP.

/vi/images/chrome-update-webp-vulnerability.jpg

Nếu bản cập nhật cho trình duyệt web ưa thích của bạn không giải quyết được vấn đề liên quan đến lỗ hổng đã xác định, thì có thể cần phải tạm thời chuyển sang một trong các lựa chọn thay thế được đề cập trước đó, trong khi chờ phát hành bản vá cho trình duyệt cụ thể của bạn.

Tôi có an toàn khi sử dụng các ứng dụng yêu thích của mình không?

Đây là nơi nó trở nên khó khăn. Thật không may, lỗ hổng CVE-2023-4863 WebP cũng ảnh hưởng đến một số ứng dụng chưa xác định. Thứ nhất, bất kỳ phần mềm nào sử dụng thư viện libwebp đều bị ảnh hưởng bởi lỗ hổng này, điều đó có nghĩa là mỗi nhà cung cấp sẽ cần phát hành các bản vá bảo mật của riêng mình.

Làm tình hình thêm phức tạp, lỗ hổng nói trên còn mở rộng sang nhiều nền tảng phát triển được sử dụng rộng rãi để xây dựng ứng dụng. Do đó, các bản cập nhật phải được áp dụng cho các khung này như một bước khởi đầu cho các sửa đổi được thực hiện bởi các nhà cung cấp phần mềm sử dụng chúng, tất cả đều nhằm mục đích bảo vệ người dùng cuối khỏi những tổn hại tiềm tàng. Tuy nhiên, cam kết như vậy gây khó khăn đáng kể cho các cá nhân bình thường khi cố gắng phân biệt ứng dụng nào đã phải chịu các biện pháp khắc phục cần thiết và ứng dụng nào vẫn dễ bị lợi dụng.

Các ứng dụng nói trên bao gồm Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice, cũng như bộ Affinity, trong số rất nhiều ứng dụng khác đã bị ảnh hưởng xấu bởi sự cố này.

1Password đã phát hành bản cập nhật để giải quyết vấn đề, mặc dù trang thông báo của nó có lỗi đánh máy đối với ID lỗ hổng CVE-2023-4863 (kết thúc bằng-36 , thay vì-63). Apple cũng đã phát hành bản vá bảo mật cho macOS có vẻ như giải quyết được vấn đề tương tự nhưng không đề cập cụ thể đến vấn đề đó. Tương tự, Slack đã phát hành bản cập nhật bảo mật vào ngày 12 tháng 9 (phiên bản 4.34.119) nhưng không tham chiếu đến CVE-2023-4863.

Cập nhật mọi thứ và tiến hành cẩn thận

Để giải quyết lỗ hổng CVE-2023-4863 WebP Codex với tư cách là người dùng, cần phải thực hiện cập nhật trên tất cả các thành phần phần mềm có liên quan. Điều này bao gồm việc cập nhật từng trình duyệt được sử dụng, sau đó là đảm bảo rằng mọi ứng dụng được coi là thiết yếu cũng được cập nhật tương ứng.

Khi xem xét phiên bản mới nhất của mỗi ứng dụng, hãy xem xét kỹ các ghi chú phát hành của ứng dụng đó để tìm bất kỳ đề cập nào đến lỗ hổng CVE-2023-4863. Việc không tìm được các tài liệu tham khảo như vậy có thể buộc phải tạm thời áp dụng một giải pháp thay thế an toàn hơn trong khi chờ giải pháp của phần mềm bị ảnh hưởng. Ngoài ra, hãy xác minh xem có bản cập nhật bảo mật nào sau ngày 12 tháng 9 đã được phát hành hay không và đảm bảo giám sát liên tục các bản vá bảo mật trong tương lai.

Mặc dù việc triển khai giải pháp này không đảm bảo rằng CVE-2023-4863 đã được khắc phục nhưng nó là giải pháp thay thế khả thi nhất của bạn trong hoàn cảnh hiện tại.

WebP: Một giải pháp tốt với câu chuyện cảnh giác

Google đã giới thiệu WebP vào năm 2010, một cách tiếp cận sáng tạo nhằm tăng tốc độ hiển thị nội dung trực quan trong trình duyệt web và các nền tảng phần mềm khác nhau. Định dạng này cung cấp cả kỹ thuật nén có mất dữ liệu và không mất dữ liệu, có khả năng giảm kích thước tệp của hình ảnh kỹ thuật số khoảng ba mươi phần trăm mà không ảnh hưởng đến chất lượng có thể cảm nhận được của nó.

WebP thể hiện hiệu quả đáng chú ý về mặt tốc độ kết xuất, tuy nhiên việc triển khai nó đóng vai trò minh họa cho việc việc tập trung hoàn toàn vào một khía cạnh hiệu suất có thể dẫn đến việc bỏ qua các khía cạnh quan trọng khác như bảo mật. Sự phát triển vội vã và phổ biến nhanh chóng của công nghệ này đã dẫn đến nhiều lỗ hổng. Trước sự phổ biến ngày càng tăng của các cuộc tấn công zero-day, những gã khổng lồ công nghệ như Google phải tăng cường các biện pháp bảo mật hoặc có nguy cơ khiến sản phẩm của họ phải chịu sự giám sát chặt chẽ của các nhà phát triển.

Updated on 2023-09-19
Back | Home