Atualize tudo: esta vulnerabilidade crítica do WebP afeta os principais navegadores e aplicativos

Atualize tudo: esta vulnerabilidade crítica do WebP afeta os principais navegadores e aplicativos
Leitores como você ajudam a apoiar o MUO. Quando você faz uma compra usando links em nosso site, podemos ganhar uma comissão de afiliado. Consulte Mais informação.

Uma vulnerabilidade crítica no WebP Codec foi descoberta, forçando os principais navegadores a acelerar as atualizações de segurança. No entanto, o uso generalizado do mesmo código de renderização WebP significa que inúmeros aplicativos também serão afetados, até que liberem patches de segurança.





MUO Vídeo do dia ROLE PARA CONTINUAR COM O CONTEÚDO

Então, qual é a vulnerabilidade CVE-2023-4863? Quão ruim é isso? E o que você pode fazer?



Qual é a vulnerabilidade WebP CVE-2023-4863?

O problema no Codec WebP foi denominado CVE-2023-4863. A raiz está dentro de uma função específica do código de renderização WebP (o “BuildHuffmanTable”), tornando o codec vulnerável a estouros de buffer de heap .





kernel_mode_heap_corruption

Uma sobrecarga de buffer de heap ocorre quando um programa grava mais dados em um buffer de memória do que foi projetado para conter. Quando isso acontece, ele pode sobrescrever a memória adjacente e corromper dados. Ainda pior, hackers podem explorar estouros de buffer de heap para assumir o controle de sistemas e dispositivos remotamente.

Uma interface de linha de comando exibindo um código malicioso

Os hackers podem atacar aplicativos conhecidos por terem vulnerabilidades de buffer overflow e enviar-lhes dados maliciosos. Por exemplo, eles podem fazer upload de uma imagem WebP maliciosa que implanta código no dispositivo do usuário quando ele o visualiza no navegador ou em outro aplicativo.



Esse tipo de vulnerabilidade existente em códigos tão amplamente utilizados como o WebP Codec é um problema sério. Além dos principais navegadores, inúmeros aplicativos usam o mesmo codec para renderizar imagens WebP. Neste estágio, a vulnerabilidade CVE-2023-4863 está muito difundida para sabermos quão grande ela realmente é e a limpeza será complicada.

É seguro usar meu navegador favorito?

Sim, a maioria dos principais navegadores já lançou atualizações para resolver esse problema. Portanto, contanto que você atualize seus aplicativos para a versão mais recente, você poderá navegar na web normalmente. Google, Mozilla, Microsoft, Brave e Tor lançaram patches de segurança e outros provavelmente já o fizeram no momento em que você está lendo isto.



As atualizações contendo correções para esta vulnerabilidade específica são:

  • Cromada: Versão 116.0.5846.187 (Mac/Linux); versão 116.0.5845.187/.188 (Windows)
  • Raposa de fogo: Firefox 117.0.1; FirefoxESR 115.2.1; Thunderbird 115.2.2
  • Borda: Versão de borda 116.0.1938.81
  • Corajoso: Brava versão 1.57.64
  • Tor: Navegador Tor 12.5.4

Se você estiver usando um navegador diferente, verifique as atualizações mais recentes e procure referências específicas à vulnerabilidade de estouro de buffer de heap CVE-2023-4863 no WebP. Por exemplo, o anúncio de atualização do Chrome inclui a seguinte referência: “Critical CVE-2023-4863: Heap buffer overflow in WebP”.



Notas de atualização do Chrome referenciando um patch de segurança para a vulnerabilidade WebP CVE-2023-4863

Se você não conseguir encontrar uma referência a esta vulnerabilidade na versão mais recente do seu navegador favorito, mude para um listado acima até que uma correção seja lançada para o navegador de sua escolha.

Estou seguro para usar meus aplicativos favoritos?

Isso é onde fica complicado. Infelizmente, a vulnerabilidade CVE-2023-4863 WebP também afeta um número desconhecido de aplicativos. Em primeiro lugar, qualquer software que utilize a biblioteca libwebp é afetado por esta vulnerabilidade, o que significa que cada provedor precisará lançar seus próprios patches de segurança.

Para complicar ainda mais as coisas, essa vulnerabilidade está incorporada em muitas estruturas populares usadas para criar aplicativos. Nesses casos, as estruturas precisam ser atualizadas primeiro e, em seguida, os fornecedores de software que as utilizam precisam atualizar para a versão mais recente para proteger seus usuários. Isso torna muito difícil para o usuário médio saber quais aplicativos foram afetados e quais resolveram o problema.

iphone 12 pro vs 12 pro max

Como descobriu por Alex Ivanovs no Stack Diary , os aplicativos afetados incluem Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice e o pacote Affinity – entre muitos outros.

1Password lançou uma atualização para resolver o problema, embora sua página de anúncio inclua um erro de digitação para o ID da vulnerabilidade CVE-2023-4863 (terminando com -36, em vez de -63). A Apple também lançou um patch de segurança para macOS isso parece resolver o mesmo problema, mas não faz referência a ele especificamente. Da mesma maneira, Slack lançou uma atualização de segurança em 12 de setembro (versão 4.34.119), mas não faz referência a CVE-2023-4863.

Atualize tudo e prossiga com cuidado

Como usuário, a única coisa que você pode fazer sobre a vulnerabilidade CVE-2023-4863 WebP Codex é atualizar tudo. Comece com cada navegador que você usa e, em seguida, vá avançando nos aplicativos mais importantes.

Verifique as versões mais recentes de cada aplicativo que puder e procure referências específicas ao ID CVE-2023-4863. Se você não conseguir encontrar referências a esta vulnerabilidade nas notas de versão mais recentes, considere mudar para uma alternativa segura até que seu aplicativo preferido resolva o problema. Se esta não for uma opção, verifique se há atualizações de segurança lançadas após 12 de setembro e continue atualizando assim que novos patches de segurança forem lançados.

Isso não garante que o CVE-2023-4863 esteja sendo resolvido, mas é a melhor opção alternativa que você tem neste momento.

WebP: uma excelente solução com um conto de advertência

O Google lançou o WebP em 2010 como uma solução para renderizar imagens mais rapidamente em navegadores e outros aplicativos. O formato fornece compactação com e sem perdas que pode reduzir o tamanho dos arquivos de imagem em aproximadamente 30%, mantendo a qualidade perceptível.

proibido você não tem permissão para acessar

Em termos de desempenho, o WebP é uma excelente solução para reduzir o tempo de renderização. No entanto, é também um alerta sobre como priorizar um aspecto específico do desempenho em detrimento de outros – ou seja, a segurança. Quando o desenvolvimento incompleto encontra a adoção generalizada, cria-se uma tempestade perfeita para vulnerabilidades de origem. E, com o aumento das explorações de dia zero, empresas como o Google precisam melhorar seu jogo ou os desenvolvedores terão que examinar mais minuciosamente as tecnologias.