Een grote kwetsbaarheid, CVE-2023-4863, kan hackers op afstand toegang geven tot uw hele systeem. Hier is wat u moet doen.
Er is een kritieke kwetsbaarheid in de WebP Codec ontdekt, waardoor grote browsers gedwongen worden beveiligingsupdates te versnellen. Het wijdverbreide gebruik van dezelfde WebP-renderingcode betekent echter dat talloze apps ook worden getroffen, totdat ze beveiligingspatches uitbrengen.
Dus wat is de CVE-2023-4863-kwetsbaarheid? Hoe slecht is het? En wat kun je?
Wat is het beveiligingslek in WebP CVE-2023-4863?
Het probleem in de WebP Codec heet CVE-2023-4863. De root ligt binnen een specifieke functie van de WebP-renderingcode (de “BuildHuffmanTable”), waardoor de codec kwetsbaar is voor heap-buffer overflows.
Een heapbufferoverbelasting treedt op wanneer een programma meer gegevens naar een geheugenbuffer schrijft dan waarvoor het is ontworpen. Wanneer dit gebeurt, kan het aangrenzende geheugen mogelijk worden overschreven en gegevens beschadigd raken. Nog steeds slechter,
hackers kunnen heapbufferoverflows misbruiken om systemen over te nemen en apparaten op afstand.Hackers kunnen zich richten op apps waarvan bekend is dat ze bufferoverflow-kwetsbaarheden hebben en hen kwaadaardige gegevens sturen. Ze kunnen bijvoorbeeld een kwaadaardige WebP-afbeelding uploaden die code op het apparaat van de gebruiker implementeert wanneer deze deze in zijn browser of een andere app bekijkt.
Dit soort kwetsbaarheid in code die zo veel wordt gebruikt als de WebP Codec, is een serieus probleem. Naast de grote browsers gebruiken talloze apps dezelfde codec om WebP-afbeeldingen weer te geven. In dit stadium is de kwetsbaarheid CVE-2023-4863 te wijdverspreid om te weten hoe groot deze werkelijk is, en het opruimen zal rommelig worden.
Is het veilig om mijn favoriete browser te gebruiken?
Ja, de meeste grote browsers hebben al updates uitgebracht om dit probleem op te lossen. Zolang u uw apps bijwerkt naar de nieuwste versie, kunt u zoals gewoonlijk op internet surfen. Google, Mozilla, Microsoft, Brave en Tor hebben allemaal beveiligingspatches uitgebracht en anderen hebben dat waarschijnlijk al gedaan tegen de tijd dat u dit leest.
De updates met oplossingen voor dit specifieke beveiligingslek zijn:
- Chroom: Versie 116.0.5846.187 (Mac/Linux); versie 116.0.5845.187/.188 (Windows)
- Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
- Rand: Edge-versie 116.0.1938.81
- Moedig: Dappere versie 1.57.64
- Tor: Tor-browser 12.5.4
Als u een andere browser gebruikt, controleer dan op de nieuwste updates en zoek naar specifieke verwijzingen naar de CVE-2023-4863 heap buffer overflow-kwetsbaarheid in WebP. De update-aankondiging van Chrome bevat bijvoorbeeld de volgende verwijzing: “Critical CVE-2023-4863: Heap buffer overflow in WebP”.
Als u geen verwijzing naar dit beveiligingslek kunt vinden in de nieuwste versie van uw favoriete browser, schakel dan over naar een versie hierboven totdat er een oplossing is vrijgegeven voor de browser van uw keuze.
Kan ik mijn favoriete apps veilig gebruiken?
Dit is waar het lastig wordt. Helaas treft de CVE-2023-4863 WebP-kwetsbaarheid ook een onbekend aantal apps. Ten eerste, alle software die de libwebp-bibliotheek wordt getroffen door dit beveiligingslek, wat betekent dat elke provider zijn eigen beveiligingspatches moet uitbrengen.
Om de zaken ingewikkelder te maken, is deze kwetsbaarheid ingebed in veel populaire raamwerken die worden gebruikt om apps te bouwen. In deze gevallen moeten de raamwerken eerst worden bijgewerkt en vervolgens moeten softwareleveranciers die ze gebruiken, updaten naar de nieuwste versie om hun gebruikers te beschermen. Dit maakt het voor de gemiddelde gebruiker erg moeilijk om te weten welke apps getroffen zijn en welke het probleem hebben verholpen.
Betrokken apps zijn onder meer Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice en de Affinity-suite, en nog veel meer.
1Password heeft een update uitgebracht om het probleem aan te pakken, hoewel de aankondigingspagina een typefout bevat voor de kwetsbaarheids-ID CVE-2023-4863 (eindigend op -36 in plaats van -63). Apple heeft dat ook heeft een beveiligingspatch voor macOS uitgebracht dat lijkt hetzelfde probleem op te lossen, maar verwijst er niet specifiek naar. Insgelijks, Slack heeft een beveiligingsupdate uitgebracht op 12 september (versie 4.34.119), maar verwijst niet naar CVE-2023-4863.
Werk alles bij en ga voorzichtig te werk
Het enige dat u als gebruiker kunt doen aan de CVE-2023-4863 WebP Codex-kwetsbaarheid is alles updaten. Begin met elke browser die u gebruikt en werk vervolgens door uw belangrijkste apps.
Controleer de nieuwste releaseversies voor elke app en zoek naar specifieke verwijzingen naar de CVE-2023-4863 ID. Als u geen verwijzingen naar dit beveiligingslek kunt vinden in de nieuwste release-opmerkingen, overweeg dan om over te stappen op een veilig alternatief totdat uw voorkeursapp het probleem heeft opgelost. Als dit geen optie is, controleer dan of er beveiligingsupdates zijn die na 12 september zijn uitgebracht en blijf updaten zodra er nieuwe beveiligingspatches verschijnen.
Dit garandeert niet dat de CVE-2023-4863 wordt aangepakt, maar het is de beste terugvaloptie die je op dit moment hebt.
WebP: een goede oplossing met een waarschuwend verhaal
Google lanceerde WebP in 2010 als een oplossing om afbeeldingen sneller weer te geven in browsers en andere applicaties. Het formaat biedt compressie met en zonder verlies, waardoor de grootte van afbeeldingsbestanden met ~30 procent kan worden verminderd, terwijl de waarneembare kwaliteit behouden blijft.
Qua prestaties is WebP een prima oplossing om de weergavetijden te verkorten. Het is echter ook een waarschuwend verhaal over het voorrang geven aan een specifiek prestatieaspect boven andere aspecten, namelijk beveiliging. Wanneer halfbakken ontwikkeling en wijdverspreide adoptie samenkomen, ontstaat er een perfecte storm voor bronkwetsbaarheden. En nu het aantal zero-day-exploits toeneemt, moeten bedrijven als Google hun spel verbeteren, anders zullen ontwikkelaars technologieën meer onder de loep moeten nemen.
