I-update ang Lahat: Ang Kritikal na WebP Vulnerability na ito ay Nakakaapekto sa Mga Pangunahing Browser at Apps

I-update ang Lahat: Ang Kritikal na WebP Vulnerability na ito ay Nakakaapekto sa Mga Pangunahing Browser at Apps
Ang mga mambabasang tulad mo ay tumutulong sa pagsuporta sa MUO. Kapag bumili ka gamit ang mga link sa aming site, maaari kaming makakuha ng isang affiliate na komisyon. Magbasa pa.

Natuklasan ang isang kritikal na kahinaan sa WebP Codec, na pumipilit sa mga pangunahing browser na i-fast-track ang mga update sa seguridad. Gayunpaman, ang malawakang paggamit ng parehong WebP rendering code ay nangangahulugang hindi mabilang na mga app ang apektado din, hanggang sa maglabas sila ng mga patch ng seguridad.





MUO Video ng araw MAG-SCROLL PARA MAGPATULOY SA NILALAMAN

Kaya ano ang kahinaan ng CVE-2023-4863? Gaano kalala iyan? At ano ang magagawa mo?



Ano ang WebP CVE-2023-4863 Vulnerability?

Ang isyu sa WebP Codec ay pinangalanang CVE-2023-4863. Ang ugat ay nasa loob ng isang partikular na function ng WebP rendering code (ang 'BuildHuffmanTable'), na ginagawang mahina ang codec sa nag-uumapaw ang heap buffer .





Ang isang heap buffer overload ay nangyayari kapag ang isang program ay nagsusulat ng mas maraming data sa isang memory buffer kaysa sa idinisenyo upang hawakan. Kapag nangyari ito, posibleng ma-overwrite nito ang katabing memory at masira ang data. Ang masama pa, Maaaring samantalahin ng mga hacker ang mga heap buffer overflows upang kunin ang mga system at mga device nang malayuan.

Isang interface ng command line na nagpapakita ng malisyosong code

Maaaring i-target ng mga hacker ang mga app na kilalang may buffer overflow na mga kahinaan at magpadala sa kanila ng malisyosong data. Halimbawa, maaari silang mag-upload ng nakakahamak na larawan sa WebP na nagde-deploy ng code sa device ng user kapag tiningnan nila ito sa kanilang browser o ibang app.



Ang ganitong uri ng kahinaan na umiiral sa code na malawakang ginagamit gaya ng WebP Codec ay isang seryosong isyu. Bukod sa mga pangunahing browser, hindi mabilang na mga app ang gumagamit ng parehong codec upang mag-render ng mga larawan sa WebP. Sa yugtong ito, ang kahinaan ng CVE-2023-4863 ay masyadong laganap para malaman natin kung gaano ito kalaki at ang paglilinis ay magiging magulo.

Ligtas bang Gamitin ang Aking Paboritong Browser?

Oo, karamihan sa mga pangunahing browser ay naglabas na ng mga update upang matugunan ang isyung ito. Kaya, hangga't ina-update mo ang iyong mga app sa pinakabagong bersyon, maaari kang mag-browse sa web gaya ng dati. Ang Google, Mozilla, Microsoft, Brave, at Tor ay naglabas lahat ng mga patch sa seguridad at ang iba ay malamang na nagawa na ito sa oras na binabasa mo ito.



mga paraan upang kumita ng pera sa paglalaro ng mga video game

Ang mga update na naglalaman ng mga pag-aayos para sa partikular na kahinaan na ito ay:

  • Chrome: Bersyon 116.0.5846.187 (Mac / Linux); bersyon 116.0.5845.187/.188 (Windows)
  • Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
  • gilid: Edge na bersyon 116.0.1938.81
  • Matapang: Matapang na bersyon 1.57.64
  • Tor: Tor Browser 12.5.4

Kung gumagamit ka ng ibang browser, tingnan ang mga pinakabagong update at maghanap ng mga partikular na reference sa CVE-2023-4863 heap buffer overflow na kahinaan sa WebP. Halimbawa, kasama sa anunsyo ng update ng Chrome ang sumusunod na sanggunian: 'Critical CVE-2023-4863: Heap buffer overflow sa WebP.'



Mga tala sa pag-update ng Chrome na tumutukoy sa isang patch ng seguridad para sa kahinaan ng WebP CVE-2023-4863

Kung hindi ka makakita ng reference sa kahinaang ito sa pinakabagong bersyon ng iyong paboritong browser, lumipat sa isang nakalista sa itaas hanggang sa mailabas ang isang pag-aayos para sa iyong piniling browser.

Ligtas ba Akong Gamitin ang Aking Mga Paboritong App?

Ito ay kung saan ito ay nakakalito. Sa kasamaang palad, ang kahinaan ng CVE-2023-4863 WebP ay nakakaapekto rin sa hindi kilalang bilang ng mga app. Una, ang anumang software na gumagamit ang libwebp library ay apektado ng kahinaang ito, na nangangahulugan na ang bawat provider ay kailangang maglabas ng kanilang sariling mga patch sa seguridad.

Upang gawing mas kumplikado ang mga bagay, ang kahinaan na ito ay inilalagay sa maraming sikat na framework na ginagamit upang bumuo ng mga app. Sa mga pagkakataong ito, kailangan munang i-update ang mga frameworks at, pagkatapos, ang mga software provider na gumagamit ng mga ito ay kailangang mag-update sa pinakabagong bersyon upang maprotektahan ang kanilang mga user. Ginagawa nitong napakahirap para sa karaniwang user na malaman kung aling mga app ang apektado at kung alin ang tumugon sa isyu.

Gaya ng natuklasan ni Alex Ivanovs sa Stack Diary , ang mga apektadong app ay kinabibilangan ng Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice, at ang Affinity suite—bukod sa marami pa.

Naglabas ng update ang 1Password upang matugunan ang isyu, bagama't ang pahina ng anunsyo nito ay may kasamang typo para sa CVE-2023-4863 vulnerability ID (nagtatapos ito sa -36, sa halip na -63). Mayroon din ang Apple naglabas ng security patch para sa macOS na lumilitaw upang malutas ang parehong problema, ngunit hindi ito partikular na tumutukoy dito. Gayundin, Naglabas si Slack ng update sa seguridad noong Setyembre 12 (bersyon 4.34.119) ngunit hindi tumutukoy sa CVE-2023-4863.

I-update ang Lahat at Magpatuloy nang Maingat

Bilang isang user, ang tanging magagawa mo tungkol sa kahinaan ng CVE-2023-4863 WebP Codex ay i-update ang lahat. Magsimula sa bawat browser na iyong ginagamit, at pagkatapos ay gawin ang iyong paraan sa pamamagitan ng iyong pinakamahalagang app.

Tingnan ang mga pinakabagong bersyon ng release para sa bawat app na magagawa mo at maghanap ng mga partikular na sanggunian sa CVE-2023-4863 ID. Kung hindi ka makahanap ng mga sanggunian sa kahinaang ito sa pinakabagong mga tala sa paglabas, isaalang-alang ang paglipat sa isang secure na alternatibo hanggang sa matugunan ng iyong gustong app ang isyu. Kung hindi ito isang opsyon, tingnan kung may mga update sa seguridad na inilabas pagkatapos ng Setyembre 12 at patuloy na mag-update sa sandaling mailabas ang mga bagong patch ng seguridad.

Hindi nito magagarantiya na ang CVE-2023-4863 ay tinutugunan ngunit ito ang pinakamahusay na opsyon sa pagbabalik na mayroon ka sa puntong ito.

WebP: Isang Mahusay na Solusyon na May Isang Babala na Kuwento

Inilunsad ng Google ang WebP noong 2010 bilang isang solusyon sa pag-render ng mga larawan nang mas mabilis sa mga browser at iba pang mga application. Ang format ay nagbibigay ng lossy at lossless compression na maaaring bawasan ang laki ng mga file ng imahe ng ~30 porsyento habang pinapanatili ang nakikitang kalidad.

Sa pagganap, ang WebP ay isang mahusay na solusyon para sa pagbawas ng mga oras ng pag-render. Gayunpaman, ito rin ay isang babala na kuwento ng pagbibigay-priyoridad sa isang partikular na aspeto ng pagganap kaysa sa iba—ibig sabihin, seguridad. Kapag ang kalahating lutong pag-unlad ay nakakatugon sa malawakang pag-aampon, lumilikha ito ng perpektong bagyo para sa mga kahinaan sa pinagmulan. At, sa pagtaas ng zero-day exploits, kailangan ng mga kumpanyang tulad ng Google na i-up ang kanilang laro o kailangan pang suriin ng mga developer ang mga teknolohiya.