Actualitzeu-ho tot: aquesta vulnerabilitat crítica de WebP afecta els principals navegadors i aplicacions

Actualitzeu-ho tot: aquesta vulnerabilitat crítica de WebP afecta els principals navegadors i aplicacions
Lectors com tu ajuden a donar suport a MUO. Quan feu una compra mitjançant enllaços al nostre lloc, podem guanyar una comissió d'afiliats. Llegeix més.

S'ha descobert una vulnerabilitat crítica al còdec WebP, que obliga els principals navegadors a accelerar les actualitzacions de seguretat. Tanmateix, l'ús generalitzat del mateix codi de representació WebP fa que innombrables aplicacions també es veuen afectades, fins que alliberen pedaços de seguretat.





MUO Vídeo del dia DESPLACEU PER CONTINUAR AMB EL CONTINGUT

Aleshores, quina és la vulnerabilitat CVE-2023-4863? Què tan dolent és? I tu què pots fer?



cost de reemplaçament de la bateria d’aire Apple Macbook

Què és la vulnerabilitat WebP CVE-2023-4863?

El problema del còdec WebP s'ha anomenat CVE-2023-4863. L'arrel es troba dins d'una funció específica del codi de representació WebP (la 'BuildHuffmanTable'), fent que el còdec sigui vulnerable a desbordament de memòria intermèdia .





Una sobrecàrrega de memòria intermèdia es produeix quan un programa escriu més dades a una memòria intermèdia de les que està dissenyat per contenir. Quan això passa, pot sobreescriure la memòria adjacent i corrompre les dades. Pitjor encara, els pirates informàtics poden aprofitar els desbordaments de memòria intermèdia per fer-se càrrec dels sistemes i dispositius a distància.

Una interfície de línia d'ordres que mostra un codi maliciós

Els pirates informàtics poden orientar aplicacions que se sap que tenen vulnerabilitats de desbordament de memòria intermèdia i enviar-los dades malicioses. Per exemple, podrien penjar una imatge WebP maliciosa que desplega codi al dispositiu de l'usuari quan la veu al seu navegador o a una altra aplicació.



Aquest tipus de vulnerabilitat existent en codi tan utilitzat com el WebP Codec és un problema seriós. A part dels principals navegadors, innombrables aplicacions utilitzen el mateix còdec per representar imatges WebP. En aquesta fase, la vulnerabilitat CVE-2023-4863 està massa estesa perquè puguem saber com de gran és realment i la neteja serà desordenada.

És segur utilitzar el meu navegador preferit?

Sí, la majoria dels navegadors principals ja han publicat actualitzacions per solucionar aquest problema. Per tant, sempre que actualitzeu les vostres aplicacions a la darrera versió, podeu navegar pel web com de costum. Google, Mozilla, Microsoft, Brave i Tor han llançat pedaços de seguretat i d'altres probablement ho hagin fet quan esteu llegint això.



Les actualitzacions que contenen correccions per a aquesta vulnerabilitat específica són:

  • Chrome: Versió 116.0.5846.187 (Mac / Linux); versió 116.0.5845.187/.188 (Windows)
  • Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
  • Vora: Versió Edge 116.0.1938.81
  • valent: Brave versió 1.57.64
  • Tor: Navegador Tor 12.5.4

Si utilitzeu un navegador diferent, comproveu les últimes actualitzacions i cerqueu referències específiques a la vulnerabilitat de desbordament de memòria intermèdia CVE-2023-4863 a WebP. Per exemple, l'anunci d'actualització de Chrome inclou la referència següent: 'Critical CVE-2023-4863: Heap buffer overflow in WebP'.



Notes d'actualització de Chrome que fan referència a un pedaç de seguretat per a la vulnerabilitat WebP CVE-2023-4863

Si no trobeu cap referència a aquesta vulnerabilitat a l'última versió del vostre navegador preferit, canvieu a la llista anterior fins que s'alliberi una solució per al vostre navegador preferit.

Estic segur per utilitzar les meves aplicacions preferides?

Aquí és on es fa complicat. Malauradament, la vulnerabilitat CVE-2023-4863 WebP també afecta un nombre desconegut d'aplicacions. En primer lloc, qualsevol programari que utilitzi la biblioteca libwebp es veu afectada per aquesta vulnerabilitat, el que significa que cada proveïdor haurà de llançar els seus propis pedaços de seguretat.

Per complicar les coses, aquesta vulnerabilitat s'incorpora a molts marcs populars utilitzats per crear aplicacions. En aquests casos, primer cal actualitzar els marcs i, després, els proveïdors de programari que els utilitzen han d'actualitzar-los a la versió més recent per protegir els seus usuaris. Això fa que sigui molt difícil per a l'usuari mitjà saber quines aplicacions es veuen afectades i quines han resolt el problema.

Tal com va descobrir Alex Ivanovs a Stack Diary , les aplicacions afectades inclouen Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice i la suite Affinity, entre moltes més.

1Password ha publicat una actualització per solucionar el problema, tot i que la seva pàgina d'anunci inclou un error tipogràfic per a l'identificador de vulnerabilitat CVE-2023-4863 (l'acaba amb -36, en lloc de -63). Apple també ho té va llançar un pedaç de seguretat per a macOS sembla que resol el mateix problema, però no hi fa referència específicament. Igualment, Slack ha publicat una actualització de seguretat el 12 de setembre (versió 4.34.119), però no fa referència a CVE-2023-4863.

Actualitzeu-ho tot i procediu amb cura

Com a usuari, l'únic que podeu fer amb la vulnerabilitat CVE-2023-4863 WebP Codex és actualitzar-ho tot. Comenceu amb tots els navegadors que utilitzeu i, a continuació, feu servir les vostres aplicacions més importants.

Comproveu les últimes versions de cada aplicació que pugueu i cerqueu referències específiques a l'ID CVE-2023-4863. Si no trobeu referències a aquesta vulnerabilitat a les notes de llançament més recents, considereu canviar a una alternativa segura fins que la vostra aplicació preferida solucioni el problema. Si aquesta no és una opció, comproveu si hi ha actualitzacions de seguretat publicades després del 12 de setembre i seguiu actualitzant-vos tan aviat com es publiquin nous pegats de seguretat.

Això no garanteix que s'estigui abordant el CVE-2023-4863, però és la millor opció alternativa que teniu en aquest moment.

com fer que un vídeo tingui una millor qualitat

WebP: una bona solució amb un relat cautelós

Google va llançar WebP l'any 2010 com una solució per renderitzar imatges més ràpidament als navegadors i altres aplicacions. El format proporciona compressió amb pèrdues i sense pèrdues que pot reduir la mida dels fitxers d'imatge en un ~ 30 per cent alhora que manté una qualitat perceptible.

Pel que fa al rendiment, WebP és una bona solució per reduir els temps de renderització. Tanmateix, també és una història d'advertència de prioritzar un aspecte específic del rendiment sobre els altres, és a dir, la seguretat. Quan el desenvolupament a mig fer es troba amb una adopció generalitzada, crea una tempesta perfecta per a les vulnerabilitats de la font. I, amb l'augment dels exploits de dia zero, empreses com Google necessiten millorar el seu joc o els desenvolupadors hauran d'escrutar més les tecnologies.