Home-theater-designers
WebP Codec'te, büyük tarayıcıları güvenlik güncellemelerini hızlandırmaya zorlayan kritik bir güvenlik açığı keşfedildi. Ancak aynı WebP oluşturma kodunun yaygın kullanımı, güvenlik yamaları yayınlanıncaya kadar sayısız uygulamanın da etkileneceği anlamına geliyor.
MUO Günün videosu İÇERİĞE DEVAM ETMEK İÇİN KAYDIRIN
Peki CVE-2023-4863 güvenlik açığı nedir? Ne kadar kötü? Peki ne yapabilirsin?
WebP CVE-2023-4863 Güvenlik Açığı Nedir?
WebP Codec'teki sorun CVE-2023-4863 olarak adlandırıldı. Kök, WebP oluşturma kodunun belirli bir işlevinde ('BuildHuffmanTable') bulunur ve codec bileşenini saldırıya açık hale getirir. yığın arabellek taşmaları .
Bir program, bir bellek arabelleğine tutmak için tasarlandığından daha fazla veri yazdığında, yığın arabelleği aşırı yüklemesi oluşur. Bu olduğunda, potansiyel olarak bitişik belleğin üzerine yazabilir ve verileri bozabilir. Daha da kötüsü, Bilgisayar korsanları sistemleri ele geçirmek için yığın arabellek taşmalarından yararlanabilir ve cihazlar uzaktan.
Bilgisayar korsanları, arabellek taşması güvenlik açıklarına sahip olduğu bilinen uygulamaları hedefleyebilir ve onlara kötü amaçlı veriler gönderebilir. Örneğin, kullanıcının tarayıcısında veya başka bir uygulamada görüntülediğinde cihazına kod dağıtan kötü amaçlı bir WebP görüntüsü yükleyebilirler.
WebP Codec bileşeni kadar yaygın olarak kullanılan kodlarda da bulunan bu tür bir güvenlik açığı ciddi bir sorundur. Büyük tarayıcıların yanı sıra sayısız uygulama da WebP görüntülerini oluşturmak için aynı codec bileşenini kullanır. Bu aşamada CVE-2023-4863 güvenlik açığı gerçekte ne kadar büyük olduğunu bilemeyeceğimiz kadar yaygın ve temizleme işlemi karmaşık olacak.
Favori Tarayıcımı Kullanmak Güvenli mi?
Evet, çoğu büyük tarayıcı bu sorunu çözmek için zaten güncellemeler yayınlamıştır. Yani uygulamalarınızı en son sürüme güncellediğiniz sürece web'de her zamanki gibi gezinebilirsiniz. Google, Mozilla, Microsoft, Brave ve Tor'un tümü güvenlik yamaları yayınladı ve siz bunu okuduğunuz sırada muhtemelen diğerleri de bunu yayınlamıştır.
Bu özel güvenlik açığına yönelik düzeltmeleri içeren güncellemeler şunlardır:
yazıcı çevrimdışı windows 10 nasıl düzeltilir
- Krom: Sürüm 116.0.5846.187 (Mac / Linux); sürüm 116.0.5845.187/.188 (Windows)
- Firefox: Firefox117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
- Kenar: Kenar sürümü 116.0.1938.81
- Cesur: Cesur sürüm 1.57.64
- Tor: Tor Tarayıcı 12.5.4
Farklı bir tarayıcı kullanıyorsanız en son güncellemeleri kontrol edin ve WebP'deki CVE-2023-4863 yığın arabellek taşması güvenlik açığına ilişkin belirli referansları arayın. Örneğin, Chrome'un güncelleme duyurusu şu referansı içeriyor: 'Kritik CVE-2023-4863: WebP'de yığın arabellek taşması'.
Favori tarayıcınızın en son sürümünde bu güvenlik açığına ilişkin bir referans bulamazsanız, tercih ettiğiniz tarayıcı için bir düzeltme yayınlanana kadar yukarıda listelenen sürüme geçin.
ps 2 oyunlarını bilgisayarda oyna
Favori Uygulamalarımı Kullanmak Güvenli miyim?
Burası işin zorlaştığı yer. Maalesef CVE-2023-4863 WebP güvenlik açığı bilinmeyen sayıda uygulamayı da etkiliyor. İlk olarak, herhangi bir yazılımı kullanan libwebp kütüphanesi Bu güvenlik açığından etkileniyor; bu da her sağlayıcının kendi güvenlik yamalarını yayınlaması gerektiği anlamına geliyor.
İşleri daha da karmaşık hale getirmek için bu güvenlik açığı, uygulama geliştirmek için kullanılan birçok popüler çerçeveye dahil edilmiştir. Bu durumlarda, öncelikle çerçevelerin güncellenmesi gerekir ve daha sonra bunları kullanan yazılım sağlayıcıların, kullanıcılarını korumak için en son sürüme güncellemeleri gerekir. Bu, ortalama bir kullanıcının hangi uygulamaların etkilendiğini ve hangilerinin sorunu çözdüğünü bilmesini çok zorlaştırır.
Tarafından keşfedildiği gibi Stack Diary'de Alex Ivanovs , etkilenen uygulamalar arasında Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice ve Affinity paketi ve çok daha fazlası yer alıyor.
1Password bir güncelleme yayınladı duyuru sayfasında CVE-2023-4863 güvenlik açığı kimliğine ilişkin bir yazım hatası bulunmasına rağmen (-63 yerine -36 ile bitiyor). Apple'ın da var macOS için bir güvenlik yaması yayınladı bu aynı sorunu çözüyor gibi görünüyor, ancak buna özel olarak atıfta bulunmuyor. Aynı şekilde, Slack bir güvenlik güncellemesi yayınladı 12 Eylül'de (sürüm 4.34.119) ancak CVE-2023-4863'e referans vermiyor.
Her Şeyi Güncelleyin ve Dikkatli Bir Şekilde İlerleyin
Kullanıcı olarak CVE-2023-4863 WebP Codex güvenlik açığıyla ilgili yapabileceğiniz tek şey her şeyi güncellemektir. Kullandığınız her tarayıcıyla başlayın ve ardından en önemli uygulamalarınızda ilerleyin.
Yapabileceğiniz her uygulamanın en son sürüm sürümlerini kontrol edin ve CVE-2023-4863 kimliğine özel referanslar arayın. En son sürüm notlarında bu güvenlik açığına ilişkin referanslar bulamazsanız tercih ettiğiniz uygulama sorunu çözene kadar güvenli bir alternatife geçmeyi düşünün. Bu bir seçenek değilse, 12 Eylül'den sonra yayınlanan güvenlik güncellemelerini kontrol edin ve yeni güvenlik yamaları yayınlanır yayınlanmaz güncellemeye devam edin.
Bu, CVE-2023-4863 sorununun ele alındığını garanti etmez ancak bu noktada sahip olduğunuz en iyi geri dönüş seçeneğidir.
WebP: Uyarıcı Bir Hikayeyle Güzel Bir Çözüm
Google, görüntülerin tarayıcılarda ve diğer uygulamalarda daha hızlı işlenmesine yönelik bir çözüm olarak 2010 yılında WebP'yi başlattı. Format, algılanabilir kaliteyi korurken görüntü dosyalarının boyutunu ~ yüzde 30 oranında azaltabilen kayıplı ve kayıpsız sıkıştırma sağlar.
Performans açısından WebP, oluşturma sürelerini azaltmak için iyi bir çözümdür. Ancak bu aynı zamanda performansın belirli bir yönünü diğerlerine, yani güvenliğe öncelik verme konusunda uyarıcı bir hikâyedir. Yarım yamalak geliştirme yaygın bir şekilde benimsendiğinde, kaynak güvenlik açıkları için mükemmel bir fırtına yaratır. Sıfır gün açıklarının artmasıyla birlikte, Google gibi şirketlerin oyunlarını geliştirmesi gerekiyor, aksi takdirde geliştiricilerin teknolojileri daha fazla incelemesi gerekecek.