עדכן הכל: פגיעות WebP קריטית זו משפיעה על דפדפנים ואפליקציות עיקריות

עדכן הכל: פגיעות WebP קריטית זו משפיעה על דפדפנים ואפליקציות עיקריות
קוראים כמוך עוזרים לתמוך ב-MUO. כאשר אתה מבצע רכישה באמצעות קישורים באתר שלנו, אנו עשויים להרוויח עמלת שותף. קרא עוד.

התגלתה פגיעות קריטית ב-WebP Codec, שאילצה את הדפדפנים הגדולים לעקוב אחר עדכוני אבטחה מהירים. עם זאת, שימוש נרחב באותו קוד עיבוד WebP פירושו שגם אינספור אפליקציות מושפעות, עד שהם משחררים תיקוני אבטחה.





סרטון היום של MUO גלול כדי להמשיך עם התוכן

אז מהי הפגיעות של CVE-2023-4863? כמה זה גרוע? ומה אתה יכול לעשות?



מהי הפגיעות של WebP CVE-2023-4863?

הבעיה ב-WebP Codec קיבלה את השם CVE-2023-4863. השורש נמצא בפונקציה ספציפית של קוד העיבוד של WebP ('BuildHuffmanTable'), מה שהופך את ה-codec לפגיע ל- חיץ ערימה עולה על גדותיו .





עומס יתר של מאגר מתרחש כאשר תוכנית כותבת יותר נתונים למאגר זיכרון ממה שהיא נועדה להחזיק. כאשר זה קורה, זה עלול לדרוס זיכרון סמוך ולפגוע בנתונים. גרוע מכך, האקרים יכולים לנצל הצפת חיץ ערימה כדי להשתלט על מערכות ומכשירים מרחוק.

ממשק שורת פקודה המציג קוד זדוני

האקרים יכולים למקד לאפליקציות שידועות כבעלות פגיעויות של הצפת מאגר ולשלוח להם נתונים זדוניים. לדוגמה, הם יכולים להעלות תמונת WebP זדונית שפורסת קוד במכשיר של המשתמש כשהם צופים בו בדפדפן או באפליקציה אחרת.



סוג זה של פגיעות הקיימת בקוד בשימוש נרחב כמו ה-WebP Codec היא בעיה רצינית. מלבד הדפדפנים הגדולים, אינספור אפליקציות משתמשות באותו codec כדי להציג תמונות WebP. בשלב זה, הפגיעות של CVE-2023-4863 נפוצה מכדי שנוכל לדעת כמה היא באמת גדולה והניקוי הולך להיות מבולגן.

שיתוף קבצים בין מחשב למחשב

האם זה בטוח להשתמש בדפדפן האהוב עליי?

כן, רוב הדפדפנים הגדולים כבר פרסמו עדכונים כדי לטפל בבעיה זו. לכן, כל עוד אתה מעדכן את האפליקציות שלך לגרסה העדכנית ביותר, אתה יכול לגלוש באינטרנט כרגיל. גוגל, מוזילה, מיקרוסופט, Brave ו-Tor פרסמו כולן תיקוני אבטחה ואחרות כנראה עשו זאת עד שאתה קורא את זה.



העדכונים המכילים תיקונים עבור פגיעות ספציפית זו הם:

  • Chrome: גרסה 116.0.5846.187 (Mac / Linux); גרסה 116.0.5845.187/.188 (Windows)
  • פיירפוקס: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
  • קָצֶה: גרסת אדג' 116.0.1938.81
  • אַמִיץ: גרסה אמיצה 1.57.64
  • Tor: דפדפן Tor 12.5.4

אם אתה משתמש בדפדפן אחר, בדוק את העדכונים האחרונים וחפש הפניות ספציפיות לפגיעות של הצפת מאגר ערימה של CVE-2023-4863 ב-WebP. לדוגמה, הודעת העדכון של Chrome כוללת את ההפניה הבאה: 'Critical CVE-2023-4863: Heap buffer overflow in WebP'.



הערות עדכון של Chrome המתייחסות לתיקון אבטחה עבור הפגיעות של WebP CVE-2023-4863

אם אינך מוצא התייחסות לפגיעות זו בגרסה העדכנית ביותר של הדפדפן המועדף עליך, עבור לגרסה הרשומה למעלה עד לשחרור תיקון עבור הדפדפן שבחרת.

האם אני בטוח להשתמש באפליקציות המועדפות שלי?

כאן זה נהיה מסובך. לרוע המזל, הפגיעות של CVE-2023-4863 WebP משפיעה גם על מספר לא ידוע של אפליקציות. ראשית, כל תוכנה המשתמשת ספריית libwebp מושפע מפגיעות זו, מה שאומר שכל ספק יצטרך לשחרר תיקוני אבטחה משלו.

כדי להפוך את העניינים למורכבים יותר, פגיעות זו נטמעת במסגרות פופולריות רבות המשמשות לבניית אפליקציות. במקרים אלה, המסגרות זקוקות לעדכון תחילה ולאחר מכן, ספקי תוכנה המשתמשים בהן צריכים לעדכן לגרסה העדכנית ביותר כדי להגן על המשתמשים שלהם. זה מקשה מאוד על המשתמש הממוצע לדעת אילו אפליקציות מושפעות ואילו מהן טיפלו בבעיה.

תבנית כרטיס אינדקס 3x5 מיקרוסופט וורד

כפי שהתגלה על ידי אלכס איבנובס על יומן מחסנית , היישומים המושפעים כוללים את Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice וחבילת Affinity - בין רבים נוספים.

1Password פרסמה עדכון כדי לטפל בבעיה, למרות שדף ההכרזה שלו כולל שגיאת הקלדה עבור מזהה הפגיעות CVE-2023-4863 (מסיים אותו ב-36, במקום -63). גם לאפל יש שחרר תיקון אבטחה עבור macOS זה נראה פותר את אותה בעיה, אבל זה לא מתייחס אליה ספציפית. כְּמוֹ כֵן, Slack הוציא עדכון אבטחה ב-12 בספטמבר (גרסה 4.34.119) אך אינו מתייחס ל-CVE-2023-4863.

עדכן הכל והמשיך בזהירות

כמשתמש, הדבר היחיד שאתה יכול לעשות בנוגע לפגיעות CVE-2023-4863 WebP Codex הוא לעדכן הכל. התחל עם כל דפדפן שבו אתה משתמש, ולאחר מכן פעל דרך האפליקציות החשובות ביותר שלך.

בדוק את גרסאות המהדורה העדכניות ביותר עבור כל אפליקציה שאתה יכול וחפש הפניות ספציפיות למזהה CVE-2023-4863. אם אינך יכול למצוא אזכורים לפגיעות זו בהערות המהדורה האחרונות, שקול לעבור לחלופה מאובטחת עד שהאפליקציה המועדפת עליך תטפל בבעיה. אם זו לא אפשרות, בדוק אם יש עדכוני אבטחה שפורסמו לאחר ה-12 בספטמבר והמשיכו לעדכן ברגע שישוחררו תיקוני אבטחה חדשים.

זה לא מבטיח שה-CVE-2023-4863 מטופל, אבל זו אפשרות החזרה הטובה ביותר שיש לך בשלב זה.

WebP: פתרון משובח עם סיפור אזהרה

גוגל השיקה את WebP ב-2010 כפתרון לעיבוד מהיר יותר של תמונות בדפדפנים ובאפליקציות אחרות. הפורמט מספק דחיסה מאבדת וחסרת אובדן שיכולה להקטין את גודל קובצי התמונה בכ-30 אחוז תוך שמירה על איכות מורגשת.

התקן את חנות המשחק בטאבלט אש

מבחינת ביצועים, WebP הוא פתרון מצוין להפחתת זמני העיבוד. עם זאת, זה גם סיפור אזהרה של תעדוף היבט מסוים של ביצועים על פני אחרים - כלומר, אבטחה. כאשר פיתוח חצי אפוי פוגש אימוץ נרחב, זה יוצר סערה מושלמת עבור פגיעויות מקור. ועם ניצול של יום אפס בעלייה, חברות כמו גוגל צריכות לשפר את המשחק שלהן או שהמפתחים יצטרכו לבחון יותר את הטכנולוגיות.