Suuri haavoittuvuus, CVE-2023-4863, voi antaa hakkereille etäkäytön koko järjestelmääsi. Tässä on mitä tehdä.
WebP Codecista on löydetty kriittinen haavoittuvuus, joka pakottaa suuret selaimet nopeuttamaan tietoturvapäivityksiä. Saman WebP-renderöintikoodin laaja käyttö tarkoittaa kuitenkin, että se vaikuttaa myös lukemattomiin sovelluksiin, kunnes ne julkaisevat tietoturvakorjauksia.
Mikä sitten on CVE-2023-4863-haavoittuvuus? Kuinka paha se on? Ja mitä voit tehdä?
Mikä on WebP CVE-2023-4863 -haavoittuvuus?
WebP-koodekin ongelman nimi on CVE-2023-4863. Juuri sijaitsee WebP-renderöintikoodin tietyssä toiminnossa ("BuildHuffmanTable"), mikä tekee pakkauksesta haavoittuvan kasan puskuri ylivuoto.
Keon puskurin ylikuormitus tapahtuu, kun ohjelma kirjoittaa muistipuskuriin enemmän dataa kuin se on suunniteltu säilyttämään. Kun näin tapahtuu, se voi mahdollisesti korvata viereisen muistin ja vioittaa tietoja. Vielä pahempaa, hakkerit voivat hyödyntää keon puskurin ylivuotoja ottaakseen hallintaansa järjestelmiä ja laitteet etänä.
Hakkerit voivat kohdistaa kohteisiin, joissa tiedetään olevan puskurin ylivuotohaavoittuvuuksia, ja lähettää niille haitallisia tietoja. He voivat esimerkiksi ladata haitallisen WebP-kuvan, joka ottaa käyttöön koodin käyttäjän laitteelle, kun hän katselee sitä selaimessaan tai toisessa sovelluksessa.
Tällainen haavoittuvuus, joka on olemassa niinkin laajasti kuin WebP-koodekissa, on vakava ongelma. Suurten selaimien lisäksi lukemattomat sovellukset käyttävät samaa koodekkia WebP-kuvien hahmontamiseen. Tässä vaiheessa CVE-2023-4863-haavoittuvuus on liian laajalle levinnyt, jotta emme tiedä kuinka suuri se todella on, ja siivoamisesta tulee sotkuinen.
Onko suosikkiselaimeni käyttäminen turvallista?
Kyllä, useimmat suuret selaimet ovat jo julkaisseet päivityksiä tämän ongelman ratkaisemiseksi. Niin kauan kuin päivität sovelluksesi uusimpaan versioon, voit selata verkkoa tavalliseen tapaan. Google, Mozilla, Microsoft, Brave ja Tor ovat kaikki julkaisseet tietoturvakorjauksia, ja muut ovat luultavasti tehneet niin, kun luet tätä.
Päivitykset, jotka sisältävät korjauksia tähän haavoittuvuuteen ovat:
- Kromi: Versio 116.0.5846.187 (Mac / Linux); versio 116.0.5845.187/.188 (Windows)
- Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
- Reuna: Edge-versio 116.0.1938.81
- Urhea: Brave versio 1.57.64
- Tor: Tor-selain 12.5.4
Jos käytät toista selainta, tarkista uusimmat päivitykset ja etsi erityisiä viittauksia CVE-2023-4863 keon puskurin ylivuotohaavoittuvuuteen WebP: stä. Esimerkiksi Chromen päivitysilmoitus sisältää seuraavan viittauksen: "Kriittinen CVE-2023-4863: Keon puskurin ylivuoto WebP: ssä".
Jos et löydä viittausta tähän haavoittuvuuteen suosikkiselaimesi uusimmasta versiosta, vaihda johonkin yllä olevaan luetteloon, kunnes valitsemaasi selaimeen on julkaistu korjaus.
Voinko käyttää suosikkisovelluksiani turvassa?
Tässä se menee hankalaksi. Valitettavasti CVE-2023-4863 WebP-haavoittuvuus vaikuttaa myös tuntemattomaan määrään sovelluksia. Ensinnäkin mikä tahansa ohjelmisto käyttää libwebp-kirjasto tämä haavoittuvuus vaikuttaa, mikä tarkoittaa, että jokaisen palveluntarjoajan on julkaistava omat tietoturvapäivityksensä.
Asioista monimutkaisemman vuoksi tämä haavoittuvuus on sisällytetty moniin suosittuihin sovellusten rakentamiseen käytettyihin kehyksiin. Näissä tapauksissa kehykset on päivitettävä ensin, ja sitten niitä käyttävien ohjelmistotoimittajien on päivitettävä uusimpaan versioon käyttäjiensä suojaamiseksi. Tämän vuoksi keskivertokäyttäjän on erittäin vaikea tietää, mitä sovelluksia tämä koskee ja mitkä niistä ovat ratkaisseet ongelman.
Sovelluksia, joita tämä koskee, ovat Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice ja Affinity-paketti – monien muiden joukossa.
1Password on julkaissut päivityksen ongelman ratkaisemiseksi, vaikka sen ilmoitussivulla on kirjoitusvirhe haavoittuvuustunnuksessa CVE-2023-4863 (joka päättyy -36:een -63:n sijaan). Applella on myös julkaisi tietoturvakorjauksen macOS: lle joka näyttää ratkaisevan saman ongelman, mutta se ei viittaa siihen erikseen. Samoin Slack julkaisi tietoturvapäivityksen 12. syyskuuta (versio 4.34.119), mutta se ei viittaa CVE-2023-4863:een.
Päivitä kaikki ja jatka varovasti
Käyttäjänä ainoa asia, jonka voit tehdä CVE-2023-4863 WebP Codex -heikkoudelle, on päivittää kaikki. Aloita jokaisesta käyttämästäsi selaimesta ja käy sitten läpi tärkeimmät sovelluksesi.
Tarkista jokaisen sovelluksen uusimmat versiot ja etsi erityisiä viittauksia CVE-2023-4863-tunnukseen. Jos et löydä viittauksia tähän haavoittuvuuteen uusimmissa julkaisutiedoissa, harkitse turvalliseen vaihtoehtoon vaihtamista, kunnes haluamasi sovellus korjaa ongelman. Jos tämä ei ole vaihtoehto, tarkista syyskuun 12. päivän jälkeen julkaistut tietoturvapäivitykset ja jatka päivittämistä heti, kun uusia tietoturvakorjauksia julkaistaan.
Tämä ei takaa, että CVE-2023-4863 käsitellään, mutta se on paras vaihtoehto, joka sinulla on tällä hetkellä.
WebP: Hieno ratkaisu varoittavalla tarinalla
Google julkaisi WebP: n vuonna 2010 ratkaisuna kuvien hahmontamiseen nopeammin selaimissa ja muissa sovelluksissa. Muoto tarjoaa häviöttömän ja häviöttömän pakkauksen, joka voi pienentää kuvatiedostojen kokoa ~30 prosenttia säilyttäen samalla havaittavan laadun.
Suorituskyvyn kannalta WebP on hieno ratkaisu renderöintiaikojen lyhentämiseen. Se on kuitenkin myös varoittava tarina suorituskyvyn tietyn näkökohdan priorisoimisesta muihin nähden – nimittäin turvallisuuden. Kun puolivalmis kehitys kohtaa laajan käyttöönoton, se luo täydellisen myrskyn lähdehaavoittuvuuksille. Ja nollapäivähyödykkeiden lisääntyessä Googlen kaltaisten yritysten on parannettava peliään tai kehittäjien on tutkittava teknologiaa enemmän.