WebP 编解码器中发现了一个严重漏洞,这是主要漏洞 Browser 强制安全更新加速。 然而,相同WebP渲染代码的广泛使用意味着无数应用程序也将受到影响,直到它们发布安全补丁为止。
那么CVE-2023-4863漏洞是什么? 有多糟糕? 你能做什么?
什么是 WebP 漏洞 CVE-2023-4863?
WebP 编解码器中的问题被命名为 CVE-2023-4863。 根源在于 WebP 渲染代码(“BuildHuffmanTable”)的一个特定功能,该功能使编解码器容易受到堆缓冲区溢出的影响。
当程序向内存缓冲区写入的数据多于其预期容纳的数据时,就会发生堆缓冲区过载。 在这种情况下,相邻的内存可能会被覆盖并且数据会被损坏。 更糟糕的是,黑客可以利用堆缓冲区溢出来远程接管系统和设备。
黑客可以针对已知存在缓冲区溢出漏洞的应用程序并向其发送恶意数据。 例如,他们可以上传恶意 WebP 图像,当用户将代码安装到用户的设备中时,该图像会将代码部署到用户的设备上。 Browser 或其他应用程序。
此类漏洞存在于 WebP 编解码器等广泛使用的代码中,是一个严重的问题。 除了主要浏览器之外,无数应用程序使用相同的编解码器来渲染 WebP 图像。 此时,CVE-2023-4863 漏洞太普遍了,我们无法知道它到底有多大,而且清理工作也会很混乱。
使用“我的最爱”安全吗? Browser?
是的,大多数都是大的 Browser 已经发布了更新来解决这个问题。 因此,只要您将应用程序更新到最新版本,就可以像往常一样上网。 Google、Mozilla、Microsoft、Brave 和 Tor 都已发布安全补丁,当您阅读本文时,其他公司可能已经这样做了。
包含针对此特定漏洞的修复的更新包括:
- Chrome: 版本 116.0.5846.187 (Mac / Linux); 版本 116.0.5845.187/.188(Windows)
- Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; 雷鸟115.2.2
- Edge: Edge 版本 116.0.1938.81
- Brave: Brave 版本 1.57.64
- 目标: 目标 Browser 12.5.4
如果你还有另一个 Browser 检查 WebP 中堆缓冲区溢出漏洞 CVE-2023-4863 的最新更新和具体引用。 为了 example,Chrome 的更新公告包含以下参考内容:“Critical CVE-2023-4863:WebP 中的堆缓冲区溢出”。
如果您在您喜爱的浏览器的最新版本中没有看到此漏洞的任何证据,请切换到上面列出的版本之一,直到修复该漏洞 Browser 您的选择已发布。
我可以安全地使用我最喜欢的应用程序吗?
这就是事情变得棘手的地方。 不幸的是,WebP 漏洞 CVE-2023-4863 也影响了未知数量的应用程序。 首先,任何使用的软件 libwebp 库 受此漏洞影响,这意味着每个供应商都必须发布自己的安全补丁。
更复杂的是,此漏洞内置于许多用于构建应用程序的流行框架中。 在这些情况下,需要首先更新框架,然后使用它们的软件提供商需要更新到最新版本以保护其用户。 这使得普通用户很难确定哪些应用程序受到影响以及哪些应用程序解决了问题。
受影响的应用程序包括 Microsoft Teams、Slack、 Skype, Discord、Telegram1Password、SignalLibreOffice 和 Affinity Suite 等等。
1Password 已发布更新 修复该问题,尽管公告页面包含漏洞 ID CVE-2023-4863 的拼写错误(以 -36 结尾而不是 -63)。 Apple 还有 已发布 macOS 安全补丁 这似乎解决了同样的问题,但没有具体解决这个问题。 还, Slack 发布了安全更新 9 月 12 日(版本 4.34.119),但未引用 CVE-2023-4863。
更新所有内容并谨慎行事
作为用户,您只能针对 WebP 代码 CVE-2023-4863 中的漏洞更新所有内容。 从每个人开始 Browser您使用的应用程序,然后按照您最重要的应用程序进行操作。
检查每个可能的应用程序的最新发行版本,并查找 CVE-2023-4863 ID 的具体引用。 如果您在最新的发行说明中没有看到此漏洞的任何证据,则应考虑切换到安全的替代方案,直到您最喜欢的应用程序解决该问题。 如果这不是一个选项,请检查 9 月 12 日之后发布的安全更新,并在新安全补丁发布时继续更新。
这并不能保证 CVE-2023-4863 将得到修复,但它是您当前可用的最佳后备选项。
WebP:一个带有警示故事的好解决方案
Google WebP 于 2010 年推出,作为在浏览器和其他应用程序中更快地显示图像的解决方案。 该格式提供有损和无损压缩,可以将图像文件的大小减少约 30%,而不会留下明显的质量。
就性能而言,WebP 是减少渲染时间的良好解决方案。 然而,这也是一个将性能的某一方面(即安全性)置于优先地位的警示故事。 当不成熟的开发获得广泛接受时,源代码漏洞的完美风暴就会出现。 随着零日漏洞利用的增加,公司喜欢它 Google 他们需要加强他们的游戏,否则开发人员将不得不仔细研究这些技术。
