อัปเดตทุกอย่าง: ช่องโหว่ WebP ที่สำคัญนี้ส่งผลกระทบต่อเบราว์เซอร์และแอพหลัก ๆ

อัปเดตทุกอย่าง: ช่องโหว่ WebP ที่สำคัญนี้ส่งผลกระทบต่อเบราว์เซอร์และแอพหลัก ๆ
ผู้อ่านเช่นคุณช่วยสนับสนุน MUO เมื่อคุณทำการซื้อโดยใช้ลิงก์บนเว็บไซต์ของเรา เราอาจได้รับค่าคอมมิชชั่นจากพันธมิตร อ่านเพิ่มเติม.

พบช่องโหว่ที่สำคัญใน WebP Codec ส่งผลให้เบราว์เซอร์หลักต้องดำเนินการอัปเดตความปลอดภัยอย่างรวดเร็ว อย่างไรก็ตาม การใช้โค้ดเรนเดอร์ WebP เดียวกันอย่างแพร่หลายหมายความว่าแอปจำนวนนับไม่ถ้วนได้รับผลกระทบเช่นกัน จนกว่าจะปล่อยแพตช์รักษาความปลอดภัย





MUO วิดีโอประจำวันนี้ เลื่อนเพื่อดำเนินการต่อด้วยเนื้อหา

แล้วช่องโหว่ CVE-2023-4863 คืออะไร? มันแย่แค่ไหน? และคุณสามารถทำอะไรได้บ้าง?



ช่องโหว่ WebP CVE-2023-4863 คืออะไร?

ปัญหาใน WebP Codec ได้รับการตั้งชื่อว่า CVE-2023-4863 รากอยู่ภายในฟังก์ชันเฉพาะของโค้ดการเรนเดอร์ WebP (“BuildHuffmanTable”) ทำให้ตัวแปลงสัญญาณมีความเสี่ยง ฮีปบัฟเฟอร์ล้น .





ฉันจะลบบัญชี hotmail ของฉันได้อย่างไร

โอเวอร์โหลดบัฟเฟอร์ฮีปเกิดขึ้นเมื่อโปรแกรมเขียนข้อมูลลงในบัฟเฟอร์หน่วยความจำมากกว่าที่ออกแบบมาเพื่อเก็บไว้ เมื่อสิ่งนี้เกิดขึ้น อาจเขียนทับหน่วยความจำที่อยู่ติดกันและข้อมูลเสียหายได้ ที่แย่กว่านั้นคือ แฮกเกอร์สามารถใช้ประโยชน์จากฮีปบัฟเฟอร์โอเวอร์โฟลว์เพื่อเข้าควบคุมระบบ และอุปกรณ์จากระยะไกล

อินเทอร์เฟซบรรทัดคำสั่งที่แสดงโค้ดที่เป็นอันตราย

แฮกเกอร์สามารถกำหนดเป้าหมายแอปที่ทราบว่ามีช่องโหว่บัฟเฟอร์ล้นและส่งข้อมูลที่เป็นอันตรายไปให้พวกเขา ตัวอย่างเช่น พวกเขาสามารถอัปโหลดรูปภาพ WebP ที่เป็นอันตรายซึ่งปรับใช้โค้ดบนอุปกรณ์ของผู้ใช้เมื่อพวกเขาดูในเบราว์เซอร์หรือแอปอื่น



ช่องโหว่ประเภทนี้ที่มีอยู่ในโค้ดที่ใช้กันอย่างแพร่หลายเช่นเดียวกับ WebP Codec ถือเป็นปัญหาร้ายแรง นอกเหนือจากเบราว์เซอร์หลักๆ แล้ว แอพจำนวนนับไม่ถ้วนยังใช้ตัวแปลงสัญญาณเดียวกันในการแสดงผลภาพ WebP ในขั้นตอนนี้ ช่องโหว่ CVE-2023-4863 แพร่หลายเกินกว่าที่เราจะรู้ว่าช่องโหว่นี้ใหญ่แค่ไหน และการล้างข้อมูลจะเละเทะ

การใช้เบราว์เซอร์โปรดของฉันปลอดภัยหรือไม่?

ใช่ เบราว์เซอร์หลักส่วนใหญ่ได้เปิดตัวการอัปเดตเพื่อแก้ไขปัญหานี้แล้ว ดังนั้นตราบใดที่คุณอัปเดตแอปเป็นเวอร์ชันล่าสุด คุณก็สามารถท่องเว็บได้ตามปกติ Google, Mozilla, Microsoft, Brave และ Tor ได้เปิดตัวแพตช์รักษาความปลอดภัยทั้งหมดแล้ว และโปรแกรมอื่นๆ อาจทำเช่นนั้นเมื่อคุณอ่านข้อความนี้



การอัปเดตที่มีการแก้ไขสำหรับช่องโหว่นี้คือ:

  • โครเมียม: เวอร์ชัน 116.0.5846.187 (Mac / Linux); เวอร์ชัน 116.0.5845.187/.188 (Windows)
  • ไฟร์ฟอกซ์: ไฟร์ฟอกซ์ 117.0.1; ไฟร์ฟอกซ์ ESR 115.2.1; ธันเดอร์เบิร์ด 115.2.2
  • ขอบ: Edge เวอร์ชัน 116.0.1938.81
  • กล้าหาญ: ผู้กล้าเวอร์ชั่น 1.57.64
  • ทอร์: ทอร์เบราว์เซอร์ 12.5.4

หากคุณใช้เบราว์เซอร์อื่น ให้ตรวจสอบการอัปเดตล่าสุดและค้นหาข้อมูลอ้างอิงเฉพาะเกี่ยวกับช่องโหว่บัฟเฟอร์ล้นฮีป CVE-2023-4863 ใน WebP ตัวอย่างเช่น ประกาศการอัปเดตของ Chrome มีการอ้างอิงต่อไปนี้: “Critical CVE-2023-4863: Heap buffer overflow ใน WebP”



บันทึกการอัปเดต Chrome อ้างอิงแพตช์รักษาความปลอดภัยสำหรับช่องโหว่ WebP CVE-2023-4863

หากคุณไม่พบข้อมูลอ้างอิงถึงช่องโหว่นี้ในเบราว์เซอร์ที่คุณชื่นชอบเวอร์ชันล่าสุด ให้เปลี่ยนไปใช้รายการด้านบนจนกว่าจะมีการเปิดตัวการแก้ไขสำหรับเบราว์เซอร์ที่คุณเลือก

ฉันปลอดภัยไหมที่จะใช้แอพโปรดของฉัน?

นี่คือจุดที่มันยุ่งยาก น่าเสียดายที่ช่องโหว่ CVE-2023-4863 WebP ส่งผลกระทบต่อแอปจำนวนหนึ่งที่ไม่รู้จักเช่นกัน ประการแรกซอฟต์แวร์ใด ๆ ที่ใช้ ไลบรารี libwebp ได้รับผลกระทบจากช่องโหว่นี้ ซึ่งหมายความว่าผู้ให้บริการแต่ละรายจะต้องออกแพตช์รักษาความปลอดภัยของตนเอง

เพื่อให้เรื่องซับซ้อนมากขึ้น ช่องโหว่นี้จึงถูกรวมไว้ในเฟรมเวิร์กยอดนิยมมากมายที่ใช้ในการสร้างแอป ในกรณีเหล่านี้ เฟรมเวิร์กจำเป็นต้องอัปเดตก่อน จากนั้นผู้ให้บริการซอฟต์แวร์ที่ใช้เฟรมเวิร์กจำเป็นต้องอัปเดตเป็นเวอร์ชันล่าสุดเพื่อปกป้องผู้ใช้ ทำให้เป็นเรื่องยากมากสำหรับผู้ใช้ทั่วไปที่จะทราบว่าแอปใดได้รับผลกระทบและแอปใดบ้างที่แก้ไขปัญหาได้

ตามที่ค้นพบโดย Alex Ivanovs บน Stack Diary แอปที่ได้รับผลกระทบ ได้แก่ Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice และชุด Affinity และอื่นๆ อีกมากมาย

1Password ได้เปิดตัวการอัปเดต เพื่อแก้ไขปัญหา แม้ว่าหน้าประกาศจะมีการพิมพ์รหัสช่องโหว่ CVE-2023-4863 ผิด (ลงท้ายด้วย -36 แทนที่จะเป็น -63) แอปเปิลก็มี เปิดตัวแพตช์ความปลอดภัยสำหรับ macOS ที่ดูเหมือนจะแก้ไขปัญหาเดียวกัน แต่ไม่ได้อ้างอิงถึงมันโดยเฉพาะ เช่นเดียวกัน, Slack เปิดตัวการอัปเดตความปลอดภัย ในวันที่ 12 กันยายน (เวอร์ชัน 4.34.119) แต่ไม่ได้อ้างอิง CVE-2023-4863

อัปเดตทุกอย่างและดำเนินการอย่างระมัดระวัง

ในฐานะผู้ใช้ สิ่งเดียวที่คุณสามารถทำได้เกี่ยวกับช่องโหว่ CVE-2023-4863 WebP Codex คือการอัปเดตทุกอย่าง เริ่มต้นด้วยทุกเบราว์เซอร์ที่คุณใช้ จากนั้นใช้งานแอปที่สำคัญที่สุดของคุณ

ตรวจสอบเวอร์ชันล่าสุดของทุกแอปที่คุณสามารถทำได้ และค้นหาข้อมูลอ้างอิงเฉพาะของรหัส CVE-2023-4863 หากคุณไม่พบการอ้างอิงถึงช่องโหว่นี้ในบันทึกประจำรุ่นล่าสุด ให้ลองเปลี่ยนไปใช้ทางเลือกอื่นที่ปลอดภัยจนกว่าแอปที่คุณต้องการจะจัดการปัญหา หากไม่มีตัวเลือก ให้ตรวจสอบการอัปเดตความปลอดภัยที่เผยแพร่หลังวันที่ 12 กันยายน และอัปเดตต่อไปทันทีที่มีการเปิดตัวแพตช์ความปลอดภัยใหม่

สิ่งนี้จะไม่รับประกันว่า CVE-2023-4863 จะได้รับการแก้ไข แต่เป็นตัวเลือกสำรองที่ดีที่สุดที่คุณมี ณ จุดนี้

WebP: ทางออกที่ดีพร้อมเรื่องราวเตือนใจ

Google เปิดตัว WebP ในปี 2010 เพื่อเป็นโซลูชันในการแสดงภาพได้เร็วขึ้นในเบราว์เซอร์และแอปพลิเคชันอื่นๆ รูปแบบนี้มีการบีบอัดแบบ lossy และ lossless ซึ่งสามารถลดขนาดไฟล์ภาพลงได้ประมาณ 30 เปอร์เซ็นต์ ในขณะที่ยังคงคุณภาพที่มองเห็นได้

ในด้านประสิทธิภาพ WebP เป็นโซลูชั่นที่ดีในการลดเวลาการเรนเดอร์ อย่างไรก็ตาม เรื่องนี้ยังเป็นคำเตือนในการจัดลำดับความสำคัญของประสิทธิภาพด้านหนึ่งโดยเฉพาะมากกว่าด้านอื่นๆ กล่าวคือ ความปลอดภัย เมื่อการพัฒนาแบบครึ่งเดียวพบกับการยอมรับอย่างแพร่หลาย จะทำให้เกิดพายุที่สมบูรณ์แบบสำหรับช่องโหว่ของแหล่งที่มา และด้วยการที่ช่องโหว่แบบ Zero-day มีเพิ่มมากขึ้น บริษัทอย่าง Google จำเป็นต้องพัฒนาเกมของตน ไม่เช่นนั้นผู้พัฒนาจะต้องพิจารณาเทคโนโลยีให้ละเอียดมากขึ้น