Una grave vulnerabilità, CVE-2023-4863, può fornire agli hacker l'accesso remoto all'intero sistema. Ecco cosa fare.
È stata scoperta una vulnerabilità critica nel codec WebP, costringendo i principali browser ad accelerare gli aggiornamenti di sicurezza. Tuttavia, l’uso diffuso dello stesso codice di rendering WebP significa che anche innumerevoli app vengono colpite, finché non rilasciano patch di sicurezza.
Allora qual è la vulnerabilità CVE-2023-4863? Quanto è cattivo? E cosa puoi fare?
Qual è la vulnerabilità WebP CVE-2023-4863?
Il problema nel codec WebP è stato denominato CVE-2023-4863. La radice si trova all'interno di una funzione specifica del codice di rendering WebP (il "BuildHuffmanTable"), rendendo il codec vulnerabile a overflow del buffer di heap.
Un sovraccarico del buffer di heap si verifica quando un programma scrive più dati in un buffer di memoria di quanti ne sia progettato per conservarne. Quando ciò accade, può potenzialmente sovrascrivere la memoria adiacente e corrompere i dati. Ancora peggio,
gli hacker possono sfruttare gli overflow del buffer di heap per assumere il controllo dei sistemi e dispositivi da remoto.Gli hacker possono prendere di mira le app note per presentare vulnerabilità di buffer overflow e inviare loro dati dannosi. Ad esempio, potrebbero caricare un'immagine WebP dannosa che distribuisce il codice sul dispositivo dell'utente quando lo visualizza nel browser o in un'altra app.
Questo tipo di vulnerabilità esistente nel codice ampiamente utilizzato come il codec WebP è un problema serio. A parte i principali browser, innumerevoli app utilizzano lo stesso codec per eseguire il rendering delle immagini WebP. In questa fase, la vulnerabilità CVE-2023-4863 è troppo diffusa per poter sapere quanto sia realmente grande e la pulizia sarà complicata.
È sicuro usare il mio browser preferito?
Sì, la maggior parte dei browser principali ha già rilasciato aggiornamenti per risolvere questo problema. Pertanto, finché aggiorni le tue app alla versione più recente, puoi navigare sul Web normalmente. Google, Mozilla, Microsoft, Brave e Tor hanno tutti rilasciato patch di sicurezza e altri probabilmente lo hanno fatto nel momento in cui stai leggendo questo.
Gli aggiornamenti contenenti correzioni per questa specifica vulnerabilità sono:
- Cromo: Versione 116.0.5846.187 (Mac/Linux); versione 116.0.5845.187/.188 (Windows)
- Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
- Bordo: Versione Edge 116.0.1938.81
- Coraggioso: Versione coraggiosa 1.57.64
- Tor: TorBrowser 12.5.4
Se utilizzi un browser diverso, controlla gli aggiornamenti più recenti e cerca riferimenti specifici alla vulnerabilità di overflow del buffer heap CVE-2023-4863 in WebP. Ad esempio, l'annuncio dell'aggiornamento di Chrome include il seguente riferimento: "Critical CVE-2023-4863: Heap buffer overflow in WebP".
Se non riesci a trovare un riferimento a questa vulnerabilità nell'ultima versione del tuo browser preferito, passa a uno elencato sopra finché non viene rilasciata una correzione per il tuo browser preferito.
È sicuro utilizzare le mie app preferite?
È qui che le cose diventano complicate. Sfortunatamente, la vulnerabilità WebP CVE-2023-4863 colpisce anche un numero sconosciuto di app. Innanzitutto, qualsiasi software che utilizza la libreria libwebp è interessato da questa vulnerabilità, il che significa che ciascun provider dovrà rilasciare le proprie patch di sicurezza.
Per rendere le cose ancora più complicate, questa vulnerabilità è presente in molti framework popolari utilizzati per creare app. In questi casi, i framework devono prima essere aggiornati e, quindi, i fornitori di software che li utilizzano devono aggiornarsi alla versione più recente per proteggere i propri utenti. Ciò rende molto difficile per l’utente medio sapere quali app sono interessate e quali hanno risolto il problema.
Le app interessate includono Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice e la suite Affinity, tra tante altre.
1Password ha rilasciato un aggiornamento per risolvere il problema, sebbene la sua pagina di annuncio includa un errore di battitura per l'ID di vulnerabilità CVE-2023-4863 (che termina con -36, invece di -63). Anche Apple ha ha rilasciato una patch di sicurezza per macOS che sembra risolvere lo stesso problema, ma non vi fa riferimento specificamente. Allo stesso modo, Slack ha rilasciato un aggiornamento di sicurezza il 12 settembre (versione 4.34.119) ma non fa riferimento a CVE-2023-4863.
Aggiorna tutto e procedi con attenzione
Come utente, l'unica cosa che puoi fare riguardo alla vulnerabilità CVE-2023-4863 WebP Codex è aggiornare tutto. Inizia con ogni browser che utilizzi e poi procedi attraverso le app più importanti.
Controlla le ultime versioni di rilascio per ogni app disponibile e cerca riferimenti specifici all'ID CVE-2023-4863. Se non riesci a trovare riferimenti a questa vulnerabilità nelle note di rilascio più recenti, valuta la possibilità di passare a un'alternativa sicura finché la tua app preferita non risolve il problema. Se questa non è un'opzione, controlla gli aggiornamenti di sicurezza rilasciati dopo il 12 settembre e continua ad aggiornare non appena vengono rilasciate nuove patch di sicurezza.
Ciò non garantisce che il CVE-2023-4863 venga risolto, ma è la migliore opzione di riserva che hai a questo punto.
WebP: un'ottima soluzione con un avvertimento
Google ha lanciato WebP nel 2010 come soluzione per rendere le immagini più velocemente nei browser e in altre applicazioni. Il formato fornisce una compressione con e senza perdita di dati che può ridurre la dimensione dei file di immagine di circa il 30% mantenendo una qualità percepibile.
Dal punto di vista delle prestazioni, WebP è un'ottima soluzione per ridurre i tempi di rendering. Tuttavia, è anche un avvertimento sul dare priorità a un aspetto specifico della performance rispetto ad altri, ovvero la sicurezza. Quando uno sviluppo incompleto incontra un’adozione diffusa, si crea una tempesta perfetta per le vulnerabilità all’origine. E, con l’aumento degli exploit zero-day, aziende come Google devono migliorare il proprio gioco o gli sviluppatori dovranno esaminare maggiormente le tecnologie.
