En stor sårbarhed, CVE-2023-4863, kan give hackere fjernadgang til hele dit system. Her er hvad du skal gøre.
En kritisk sårbarhed i WebP Codec er blevet opdaget, hvilket tvinger store browsere til at fremskynde sikkerhedsopdateringer. Udbredt brug af den samme WebP-gengivelseskode betyder imidlertid, at utallige apps også bliver påvirket, indtil de frigiver sikkerhedsrettelser.
Så hvad er CVE-2023-4863-sårbarheden? Hvor slemt er det? Og hvad kan du?
Hvad er WebP CVE-2023-4863-sårbarheden?
Problemet i WebP Codec har fået navnet CVE-2023-4863. Roden ligger inden for en specifik funktion af WebP-gengivelseskoden ("BuildHuffmanTable"), hvilket gør codec'et sårbart over for heap buffer overløb.
En heap-bufferoverbelastning opstår, når et program skriver flere data til en hukommelsesbuffer, end det er designet til at indeholde. Når dette sker, kan det potentielt overskrive tilstødende hukommelse og korrupte data. Stadig værre, hackere kan udnytte heap buffer overflows til at overtage systemer og enheder eksternt.
Hackere kan målrette mod apps, der vides at have bufferoverløbssårbarheder og sende dem ondsindede data. For eksempel kan de uploade et ondsindet WebP-billede, der implementerer kode på brugerens enhed, når de ser det i deres browser eller en anden app.
Denne form for sårbarhed, der findes i kode, der er så udbredt som WebP Codec, er et alvorligt problem. Bortset fra store browsere bruger utallige apps det samme codec til at gengive WebP-billeder. På dette stadium er CVE-2023-4863-sårbarheden for udbredt til, at vi kan vide, hvor stor den egentlig er, og oprydningen kommer til at være rodet.
Er det sikkert at bruge min favoritbrowser?
Ja, de fleste større browsere har allerede udgivet opdateringer for at løse dette problem. Så så længe du opdaterer dine apps til den nyeste version, kan du surfe på nettet som normalt. Google, Mozilla, Microsoft, Brave og Tor har alle udgivet sikkerhedsrettelser, og andre har sikkert gjort det, da du læser dette.
Opdateringerne, der indeholder rettelser til denne specifikke sårbarhed, er:
- Chrome: Version 116.0.5846.187 (Mac / Linux); version 116.0.5845.187/.188 (Windows)
- Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
- Kant: Edge version 116.0.1938.81
- Modig: Brave version 1.57.64
- Tor: Tor Browser 12.5.4
Hvis du bruger en anden browser, skal du tjekke efter de seneste opdateringer og se efter specifikke referencer til CVE-2023-4863 heap buffer overflow sårbarheden i WebP. For eksempel indeholder Chromes opdateringsmeddelelse følgende reference: "Critical CVE-2023-4863: Heap buffer overflow in WebP".
Hvis du ikke kan finde en reference til denne sårbarhed i den seneste version af din yndlingsbrowser, skal du skifte til en, der er anført ovenfor, indtil en rettelse er frigivet til din foretrukne browser.
Er jeg sikker ved at bruge mine yndlingsapps?
Det er her, det bliver tricky. Desværre påvirker CVE-2023-4863 WebP-sårbarheden også et ukendt antal apps. For det første, enhver software, der bruger libwebp biblioteket er påvirket af denne sårbarhed, hvilket betyder, at hver udbyder skal frigive deres egne sikkerhedsrettelser.
For at gøre tingene mere komplicerede er denne sårbarhed indbygget i mange populære rammer, der bruges til at bygge apps. I disse tilfælde skal rammerne først opdateres, og derefter skal softwareudbydere, der bruger dem, opdatere til den nyeste version for at beskytte deres brugere. Dette gør det meget svært for den gennemsnitlige bruger at vide, hvilke apps der er berørt, og hvilke der har løst problemet.
Berørte apps inkluderer Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice og Affinity-pakken – blandt så mange flere.
1Password har udgivet en opdatering for at løse problemet, selvom dens meddelelsesside indeholder en tastefejl for CVE-2023-4863 sårbarheds-id'et (der slutter med -36 i stedet for -63). Apple har også udgivet en sikkerhedspatch til macOS der ser ud til at løse det samme problem, men det refererer ikke specifikt til det. Ligeledes, Slack udgav en sikkerhedsopdatering den 12. september (version 4.34.119), men henviser ikke til CVE-2023-4863.
Opdater alt og fortsæt forsigtigt
Som bruger er det eneste, du kan gøre ved CVE-2023-4863 WebP Codex-sårbarheden, at opdatere alt. Start med hver browser, du bruger, og arbejd dig derefter gennem dine vigtigste apps.
Tjek de seneste udgivelsesversioner for hver app, du kan, og se efter specifikke referencer til CVE-2023-4863-id'et. Hvis du ikke kan finde referencer til denne sårbarhed i de seneste udgivelsesbemærkninger, kan du overveje at skifte til et sikkert alternativ, indtil din foretrukne app løser problemet. Hvis dette ikke er en mulighed, skal du tjekke for sikkerhedsopdateringer udgivet efter den 12. september og fortsæt med at opdatere, så snart nye sikkerhedsrettelser er frigivet.
Dette garanterer ikke, at CVE-2023-4863 bliver behandlet, men det er den bedste tilbagefaldsmulighed, du har på dette tidspunkt.
WebP: En fin løsning med en advarselshistorie
Google lancerede WebP i 2010 som en løsning til at gengive billeder hurtigere i browsere og andre applikationer. Formatet giver tabs- og tabsfri komprimering, der kan reducere størrelsen af billedfiler med ~30 procent, samtidig med at kvaliteten bevares.
Ydelsesmæssigt er WebP en fin løsning til at reducere gengivelsestider. Det er dog også en advarselshistorie om at prioritere et specifikt aspekt af ydeevne frem for andre – nemlig sikkerhed. Når halvbagt udvikling møder udbredt adoption, skaber det en perfekt storm for kildesårbarheder. Og med zero-day exploits stigende, er virksomheder som Google nødt til at opgradere deres spil, eller udviklere bliver nødt til at granske teknologier mere.