Серьезная уязвимость CVE-2023-4863 может предоставить хакерам удаленный доступ ко всей вашей системе. Вот что делать.
Обнаружена критическая уязвимость в кодеке WebP, вынуждающая основные браузеры ускорять установку обновлений безопасности. Однако широкое использование одного и того же кода рендеринга WebP означает, что затрагивается бесчисленное количество приложений, пока они не выпустят исправления безопасности.
Так в чем же заключается уязвимость CVE-2023-4863? Насколько плохо? А что ты можешь?
Что такое уязвимость WebP CVE-2023-4863?
Проблема в кодеке WebP получила название CVE-2023-4863. Корень лежит в конкретной функции кода рендеринга WebP («BuildHuffmanTable»), что делает кодек уязвимым для переполнение буфера кучи.
Перегрузка буфера кучи возникает, когда программа записывает в буфер памяти больше данных, чем предусмотрено для хранения. Когда это происходит, потенциально может быть перезаписана соседняя память и повреждены данные. Что еще хуже, хакеры могут использовать переполнение буфера кучи для захвата систем и устройства удаленно.
Хакеры могут атаковать приложения, которые, как известно, имеют уязвимости переполнения буфера, и отправлять им вредоносные данные. Например, они могут загрузить вредоносное изображение WebP, которое развертывает код на устройстве пользователя, когда он просматривает его в своем браузере или другом приложении.
Подобная уязвимость, существующая в столь широко используемом коде, как кодек WebP, представляет собой серьезную проблему. Помимо основных браузеров, бесчисленное множество приложений используют один и тот же кодек для рендеринга изображений WebP. На данном этапе уязвимость CVE-2023-4863 слишком широко распространена, чтобы мы могли понять, насколько она велика на самом деле, и устранение ее будет беспорядочным.
Безопасно ли использовать мой любимый браузер?
Да, большинство основных браузеров уже выпустили обновления для решения этой проблемы. Таким образом, пока вы обновляете свои приложения до последней версии, вы можете пользоваться Интернетом как обычно. Google, Mozilla, Microsoft, Brave и Tor выпустили исправления безопасности, и другие, вероятно, уже сделали это к тому времени, когда вы читаете это.
Обновления, содержащие исправления для этой конкретной уязвимости:
- Хром: Версия 116.0.5846.187 (Mac/Linux); версия 116.0.5845.187/.188 (Windows)
- Fire Fox: Фаерфокс 117.0.1; Firefox ESR 115.2.1; Тандерберд 115.2.2
- Край: Версия Edge 116.0.1938.81
- Храбрый: Храбрая версия 1.57.64
- Тор: Тор Браузер 12.5.4
Если вы используете другой браузер, проверьте наличие последних обновлений и найдите конкретные ссылки на уязвимость переполнения буфера кучи CVE-2023-4863 в WebP. Например, объявление об обновлении Chrome содержит следующую ссылку: «Критическая CVE-2023-4863: переполнение буфера кучи в WebP».
Если вы не можете найти ссылку на эту уязвимость в последней версии вашего любимого браузера, переключитесь на один из перечисленных выше, пока не будет выпущено исправление для выбранного вами браузера.
Безопасно ли мне использовать мои любимые приложения?
Здесь все становится сложнее. К сожалению, уязвимость CVE-2023-4863 WebP также затрагивает неизвестное количество приложений. Во-первых, любое программное обеспечение, использующее библиотека libwebp подвержен этой уязвимости, а это означает, что каждому провайдеру придется выпустить свои собственные исправления безопасности.
Ситуация усложняется тем, что эта уязвимость встроена во многие популярные платформы, используемые для создания приложений. В таких случаях сначала необходимо обновить платформы, а затем использующие их поставщики программного обеспечения должны обновиться до последней версии, чтобы защитить своих пользователей. Из-за этого обычному пользователю очень сложно узнать, какие приложения затронуты и какие из них решили проблему.
Затронутые приложения включают Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice и пакет Affinity, а также многие другие.
1Password выпустил обновление для решения этой проблемы, хотя на странице объявления есть опечатка для идентификатора уязвимости CVE-2023-4863 (оканчивающаяся на -36 вместо -63). У Apple также есть выпустили патч безопасности для macOS Кажется, это решает ту же проблему, но конкретно на нее не ссылается. Так же, Slack выпустил обновление безопасности 12 сентября (версия 4.34.119), но не ссылается на CVE-2023-4863.
Обновите все и действуйте осторожно
Как пользователь, единственное, что вы можете сделать с уязвимостью CVE-2023-4863 WebP Codex, — это обновить все. Начните с каждого браузера, который вы используете, а затем переходите к наиболее важным приложениям.
Проверьте последние версии выпуска каждого приложения и найдите конкретные ссылки на идентификатор CVE-2023-4863. Если вы не можете найти ссылки на эту уязвимость в последних примечаниях к выпуску, рассмотрите возможность перехода на безопасную альтернативу, пока ваше предпочтительное приложение не решит проблему. Если это невозможно, проверьте наличие обновлений безопасности, выпущенных после 12 сентября, и продолжайте обновлять их, как только будут выпущены новые исправления безопасности.
Это не гарантирует, что CVE-2023-4863 будет устранена, но это лучший запасной вариант, который у вас есть на данный момент.
WebP: прекрасное решение с поучительной историей
Google запустил WebP в 2010 году как решение для ускорения рендеринга изображений в браузерах и других приложениях. Формат обеспечивает сжатие с потерями и без потерь, что позволяет уменьшить размер файлов изображений примерно на 30 процентов, сохраняя при этом ощутимое качество.
С точки зрения производительности WebP — прекрасное решение для сокращения времени рендеринга. Однако это также предостерегающая история о приоритете одного аспекта производительности над другими, а именно безопасности. Когда незаконченная разработка встречает широкое распространение, это создает настоящий шторм для уязвимостей исходного кода. А поскольку количество эксплойтов нулевого дня растет, таким компаниям, как Google, необходимо улучшить свою игру, иначе разработчикам придется более внимательно изучать технологии.