Home-theater-designers
WebP コーデックに重大な脆弱性が発見され、主要なブラウザはセキュリティ アップデートを急ぐ必要があります。ただし、同じ WebP レンダリング コードが広く使用されているということは、セキュリティ パッチがリリースされるまで、無数のアプリも影響を受けることを意味します。
今日のMUOビデオ スクロールしてコンテンツを続けてください
では、CVE-2023-4863 脆弱性とは何でしょうか?どれくらい悪い?そして何ができるでしょうか?
WebP CVE-2023-4863 脆弱性とは何ですか?
WebP コーデックの問題には CVE-2023-4863 という名前が付けられています。ルートは WebP レンダリング コード (「BuildHuffmanTable」) の特定の関数内にあるため、コーデックは次の攻撃に対して脆弱になります。 ヒープバッファオーバーフロー 。
ヒープ バッファの過負荷は、プログラムが保持できるように設計されている以上のデータをメモリ バッファに書き込むと発生します。これが発生すると、隣接するメモリが上書きされ、データが破損する可能性があります。さらに悪いことに、 ハッカーはヒープバッファオーバーフローを悪用してシステムを乗っ取る可能性がある およびデバイスをリモートで操作します。
ハッカーは、バッファ オーバーフローの脆弱性があることが知られているアプリを標的にし、悪意のあるデータを送信する可能性があります。たとえば、悪意のある WebP イメージをアップロードし、ユーザーがブラウザまたは別のアプリで表示したときに、ユーザーのデバイスにコードを展開する可能性があります。
WebP コーデックのように広く使用されているコードにこの種の脆弱性が存在することは、深刻な問題です。主要なブラウザを除けば、無数のアプリが同じコーデックを使用して WebP 画像をレンダリングしています。現段階では、CVE-2023-4863 脆弱性は広範囲に広がりすぎているため、実際の規模がどの程度なのかを知ることができず、クリーンアップは面倒になるでしょう。
お気に入りのブラウザを使用しても安全ですか?
はい、ほとんどの主要なブラウザは、この問題に対処するためのアップデートをすでにリリースしています。したがって、アプリを最新バージョンに更新している限り、通常どおり Web を閲覧できます。 Google、Mozilla、Microsoft、Brave、Tor はすべてセキュリティ パッチをリリースしており、おそらくこれを読んでいる時点で他の企業もセキュリティ パッチをリリースしているでしょう。
この特定の脆弱性に対する修正を含むアップデートは次のとおりです。
- クロム: バージョン 116.0.5846.187 (Mac / Linux);バージョン 116.0.5845.187/.188 (Windows)
- Firefox: Firefox 117.0.1; Firefox ESR 115.2.1;サンダーバード 115.2.2
- 角: エッジバージョン 116.0.1938.81
- 勇敢な: ブレイブ バージョン 1.57.64
- トル: Tor ブラウザ 12.5.4
別のブラウザを使用している場合は、最新の更新を確認し、WebP の CVE-2023-4863 ヒープ バッファ オーバーフローの脆弱性に関する具体的な参照を探してください。たとえば、Chrome のアップデートの発表には、「Critical CVE-2023-4863: WebP のヒープ バッファ オーバーフロー」という参照が含まれています。
メールで専門的に謝罪する方法
お気に入りのブラウザの最新バージョンでこの脆弱性への参照が見つからない場合は、選択したブラウザ用の修正がリリースされるまで、上記のブラウザに切り替えてください。
お気に入りのアプリを安全に使用できますか?
ここが難しいところです。残念ながら、CVE-2023-4863 WebP 脆弱性は、不特定の数のアプリにも影響を与えます。まず、使用するソフトウェアは、 libwebpライブラリ はこの脆弱性の影響を受けるため、各プロバイダーは独自のセキュリティ パッチをリリースする必要があります。
問題をさらに複雑にしているのは、この脆弱性がアプリの構築に使用される多くの一般的なフレームワークに組み込まれていることです。このような場合、まずフレームワークを更新する必要があり、次に、それを使用しているソフトウェア プロバイダーがユーザーを保護するために最新バージョンに更新する必要があります。そのため、平均的なユーザーにとって、どのアプリが影響を受けるか、どのアプリが問題に対処したかを知ることが非常に困難になります。
によって発見されたように Alex Ivanovs のスタック ダイアリー 影響を受けるアプリには、Microsoft Teams、Slack、Skype、Discord、Telegram、1Password、Signal、LibreOffice、Affinity スイートなどが含まれます。
1Password がアップデートをリリースしました ただし、その発表ページには CVE-2023-4863 脆弱性 ID のタイプミス (-63 ではなく -36 で終わる) が含まれています。アップルはまた、 macOS用のセキュリティパッチをリリースしました 同じ問題を解決しているように見えますが、具体的には言及されていません。同じく、 Slackがセキュリティアップデートをリリース 9 月 12 日 (バージョン 4.34.119) ですが、CVE-2023-4863 には言及していません。
すべてを更新し、慎重に作業を進めてください
CVE-2023-4863 WebP Codex の脆弱性に対してユーザーができる唯一のことは、すべてを更新することです。使用しているすべてのブラウザから始めて、最も重要なアプリを順に使用していきます。
可能な限りすべてのアプリの最新リリース バージョンを確認し、CVE-2023-4863 ID への具体的な参照を探します。最新のリリース ノートでこの脆弱性への言及が見つからない場合は、使用しているアプリが問題に対処するまで、安全な代替アプリに切り替えることを検討してください。これが不可能な場合は、9 月 12 日以降にリリースされたセキュリティ アップデートを確認し、新しいセキュリティ パッチがリリースされたらすぐに更新を続けてください。
これは CVE-2023-4863 に対処していることを保証するものではありませんが、現時点で利用できる最良の代替オプションです。
WebP: 警告を伴う優れたソリューション
Google は、ブラウザやその他のアプリケーションで画像をより高速にレンダリングするためのソリューションとして、2010 年に WebP を開始しました。この形式は非可逆圧縮および可逆圧縮を提供し、知覚可能な品質を維持しながら画像ファイルのサイズを最大 30% 削減できます。
パフォーマンスの観点から見ると、WebP はレンダリング時間を短縮するための優れたソリューションです。ただし、これは、パフォーマンスの特定の側面、つまりセキュリティを他の側面よりも優先することに対する警鐘でもあります。中途半端な開発が広範な採用に遭遇すると、ソースの脆弱性に対する完全な嵐が発生します。また、ゼロデイエクスプロイトが増加しているため、Google のような企業は自社の技術を強化する必要があり、そうしないと開発者はテクノロジーをさらに精査する必要があります。