一个主要的 WebP 漏洞 CVE-2023-4863 可以让黑客远程访问你的整个系统。WebP 编解码器中的一个严重漏洞已被发现,迫使主要浏览器快速跟踪安全更新。 然而,相同 WebP 渲染代码的广泛使用意味着无数应用程序也会受到影响,直到它们发布安全补丁为止。
那么 CVE-2023-4863 漏洞是什么? 有多糟糕? 你能做什么?
WebP CVE-2023-4863 漏洞是什么?
WebP 编解码器中的问题已命名为 CVE-2023-4863。 根源在于 WebP 渲染代码的特定函数(“BuildHuffmanTable”),使编解码器容易受到堆缓冲区溢出的影响。
当程序向内存缓冲区写入的数据多于其设计容纳的数据时,就会发生堆缓冲区过载。 发生这种情况时,可能会覆盖相邻内存并损坏数据。 更糟糕的是,黑客可以利用堆缓冲区溢出来远程接管系统和设备。
黑客可以针对已知存在缓冲区溢出漏洞的应用程序并向其发送恶意数据。 例如,他们可以上传恶意 WebP 图像,当用户在浏览器或其他应用程序中查看该图像时,该图像会在用户的设备上部署代码。
像 WebP Codec 这样广泛使用的代码中存在的这种漏洞是一个严重的问题。 除了主要浏览器之外,无数应用程序使用相同的编解码器来渲染 WebP 图像。 现阶段,CVE-2023-4863 漏洞太普遍了,我们无法知道它到底有多大,而且清理工作也会很混乱。
我最喜欢的浏览器安全吗?
是的,大多数主流浏览器已经发布了更新来解决这个问题。 因此,只要您将应用程序更新到最新版本,就可以照常浏览网页。 谷歌、Mozilla、微软、Brave 和 Tor 都已经发布了安全补丁,在您阅读本文时其他公司可能也已经发布了安全补丁。
包含针对此特定漏洞的修复的更新包括:
- Chrome: 版本 116.0.5846.187 (Mac / Linux); 版本 116.0.5845.187/.188 (Windows)
- Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
- Edge: Edge 版本 116.0.1938.81
- Brave: Brave 版本 1.57.64
- Tor: Tor Browser 12.5.4
如果您使用其他浏览器,请检查最新更新并查找 WebP 中 CVE-2023-4863 堆缓冲区溢出漏洞的具体引用。 例如,Chrome 的更新公告包含以下参考内容:“Critical CVE-2023-4863:WebP 中的堆缓冲区溢出”。
如果您在您喜爱的浏览器的最新版本中找不到对此漏洞的参考,请切换到上面列出的版本,直到针对您选择的浏览器发布修复程序为止。
我可以安全地使用我最喜欢的应用程序吗?
这就是棘手的地方。 不幸的是,CVE-2023-4863 WebP 漏洞还影响了未知数量的应用程序。 首先,任何使用libwebp库的软件都会受到此漏洞的影响,这意味着每个提供商都需要发布自己的安全补丁。
使事情变得更加复杂的是,这个漏洞被嵌入到许多用于构建应用程序的流行框架中。 在这些情况下,框架需要首先更新,然后使用它们的软件提供商需要更新到最新版本以保护其用户。 这使得普通用户很难知道哪些应用程序受到影响以及哪些应用程序已经解决了该问题。
受影响的应用程序包括 Microsoft Teams、Slack、Skype、Discord、1Password、Signal、LibreOffice 和 Affinity 套件等。
1Password 已发布更新来解决该问题,尽管其公告页面包含 CVE-2023-4863 漏洞 ID 的拼写错误(以 -36 结尾,而不是 -63)。 苹果还发布了 macOS 的安全补丁,似乎解决了同样的问题,但没有具体提及。 同样,Slack 于 9 月 12 日发布了安全更新(版本 4.34.119),但没有引用 CVE-2023-4863。
更新一切并谨慎行事
作为用户,您对 CVE-2023-4863 WebP Codex 漏洞唯一能做的就是更新所有内容。 从您使用的每个浏览器开始,然后逐步完成最重要的应用程序。
检查每个应用程序的最新版本,并查找 CVE-2023-4863 ID 的具体引用。 如果您在最新的发行说明中找不到对此漏洞的引用,请考虑切换到安全替代方案,直到您的首选应用程序解决该问题。 如果这不是一个选项,请检查 9 月 12 日之后发布的安全更新,并在新的安全补丁发布后立即继续更新。
这并不能保证 CVE-2023-4863 得到解决,但这是您目前拥有的最佳后备选项。
WebP:一个具有警示意义的优秀解决方案
Google 于 2010 年推出了 WebP,作为在浏览器和其他应用程序中更快地渲染图像的解决方案。 该格式提供有损和无损压缩,可以将图像文件的大小减少约 30%,同时保持可感知的质量。
就性能而言,WebP 是减少渲染时间的良好解决方案。 然而,这也是一个将性能的特定方面(即安全性)置于优先地位的警示故事。 当半生不熟的开发遇到广泛采用时,就会引发源漏洞的完美风暴。 而且,随着零日漏洞利用的增加,像谷歌这样的公司需要改进他们的游戏,否则开发人员将不得不更加仔细地审查技术。