يمكن للثغرة الأمنية الرئيسية، CVE-2023-4863، أن تمنح المتسللين إمكانية الوصول عن بعد إلى النظام بأكمله. إليك ما يجب فعله.
تم اكتشاف ثغرة أمنية خطيرة في برنامج WebP Codec، مما أجبر المتصفحات الرئيسية على تسريع التحديثات الأمنية. ومع ذلك، فإن الاستخدام الواسع النطاق لنفس كود عرض WebP يعني أن عددًا لا يحصى من التطبيقات تتأثر أيضًا، حتى تقوم بإصدار تصحيحات الأمان.
إذن ما هي الثغرة الأمنية CVE-2023-4863؟ ما مدى سوء الأمر؟ وماذا يمكنك أن؟
ما هي ثغرة WebP CVE-2023-4863؟
تم تسمية المشكلة في WebP Codec باسم CVE-2023-4863. يقع الجذر ضمن وظيفة محددة لرمز عرض WebP ("BuildHuffmanTable")، مما يجعل برنامج الترميز عرضة للاختراق تجاوز سعة المخزن المؤقت الكومة.
يحدث التحميل الزائد للمخزن المؤقت للكومة عندما يكتب أحد البرامج بيانات إلى مخزن مؤقت للذاكرة أكبر مما هو مصمم للاحتفاظ به. عندما يحدث هذا، فمن المحتمل أن يقوم بالكتابة فوق الذاكرة المجاورة وإتلاف البيانات. والأسوأ من ذلك، يمكن للمتسللين استغلال تجاوزات المخزن المؤقت للكومة للسيطرة على الأنظمة والأجهزة عن بعد.
يمكن للمتسللين استهداف التطبيقات المعروفة بأنها تحتوي على ثغرات أمنية في تجاوز سعة المخزن المؤقت وإرسال بيانات ضارة إليهم. على سبيل المثال، يمكنهم تحميل صورة WebP ضارة تنشر تعليمات برمجية على جهاز المستخدم عند مشاهدتها في متصفحهم أو تطبيق آخر.
يعد هذا النوع من الثغرات الموجودة في التعليمات البرمجية المستخدمة على نطاق واسع مثل WebP Codec مشكلة خطيرة. وبصرف النظر عن المتصفحات الرئيسية، يستخدم عدد لا يحصى من التطبيقات نفس برنامج الترميز لعرض صور WebP. في هذه المرحلة، تعد الثغرة الأمنية CVE-2023-4863 منتشرة على نطاق واسع جدًا بحيث لا يمكننا معرفة حجمها الحقيقي وستكون عملية التنظيف فوضوية.
هل استخدام متصفحي المفضل آمن؟
نعم، لقد أصدرت معظم المتصفحات الرئيسية بالفعل تحديثات لمعالجة هذه المشكلة. لذلك، طالما قمت بتحديث تطبيقاتك إلى الإصدار الأحدث، يمكنك تصفح الويب كالمعتاد. لقد أصدرت كل من Google وMozilla وMicrosoft وBrave وTor تصحيحات أمنية ومن المحتمل أن يكون الآخرون قد فعلوا ذلك بحلول الوقت الذي تقرأ فيه هذا.
التحديثات التي تحتوي على إصلاحات لهذه الثغرة الأمنية المحددة هي:
- كروم: الإصدار 116.0.5846.187 (ماك / لينكس)؛ الإصدار 116.0.5845.187/.188 (ويندوز)
- ثعلب النار: فايرفوكس 117.0.1؛ فايرفوكس ESR 115.2.1؛ ثندربيرد 115.2.2
- حافة: نسخة الحافة 116.0.1938.81
- شجاع: النسخة الشجاعة 1.57.64
- تور: متصفح تور 12.5.4
إذا كنت تستخدم متصفحًا مختلفًا، فتحقق من آخر التحديثات وابحث عن مراجع محددة للثغرة الأمنية لتجاوز سعة المخزن المؤقت لكومة الذاكرة المؤقتة CVE-2023-4863 في WebP. على سبيل المثال، يتضمن إعلان تحديث Chrome المرجع التالي: "حرج CVE-2023-4863: تجاوز سعة المخزن المؤقت للكومة في WebP".
إذا لم تتمكن من العثور على مرجع لهذه الثغرة الأمنية في أحدث إصدار من متصفحك المفضل، فانتقل إلى الإصدار المذكور أعلاه حتى يتم إصدار إصلاح للمتصفح الذي تختاره.
هل أنا آمن لاستخدام تطبيقاتي المفضلة؟
هذا هو المكان الذي تصبح فيه الأمور صعبة. ولسوء الحظ، تؤثر ثغرة WebP CVE-2023-4863 أيضًا على عدد غير معروف من التطبيقات. أولا، أي برنامج يستخدم مكتبة libwebp يتأثر بهذه الثغرة الأمنية، مما يعني أن كل مزود سيحتاج إلى إصدار تصحيحات الأمان الخاصة به.
ولجعل الأمور أكثر تعقيدًا، تم دمج هذه الثغرة الأمنية في العديد من أطر العمل الشائعة المستخدمة لإنشاء التطبيقات. في هذه الحالات، تحتاج أطر العمل إلى التحديث أولاً، وبعد ذلك، يحتاج موفرو البرامج الذين يستخدمونها إلى التحديث إلى الإصدار الأحدث لحماية مستخدميهم. وهذا يجعل من الصعب جدًا على المستخدم العادي معرفة التطبيقات المتأثرة والتطبيقات التي عالجت المشكلة.
تشمل التطبيقات المتأثرة Microsoft Teams وSlack وSkype وDiscord وTelegram و1Password وSignal وLibreOffice ومجموعة Affinity، من بين العديد من التطبيقات الأخرى.
لقد أصدرت 1Password تحديثًا لمعالجة المشكلة، على الرغم من أن صفحة الإعلان الخاصة بها تتضمن خطأ مطبعيًا لمعرف الثغرة الأمنية CVE-2023-4863 (ينتهي بـ -36، بدلاً من -63). أبل لديها أيضا أصدرت تصحيحًا أمنيًا لنظام التشغيل macOS يبدو أنه يحل نفس المشكلة، لكنه لا يشير إليها على وجه التحديد. على نفس المنوال، أصدر Slack تحديثًا أمنيًا في 12 سبتمبر (الإصدار 4.34.119) ولكنه لا يشير إلى CVE-2023-4863.
قم بتحديث كل شيء وتابع بعناية
كمستخدم، الشيء الوحيد الذي يمكنك فعله بشأن الثغرة الأمنية CVE-2023-4863 WebP Codex هو تحديث كل شيء. ابدأ بكل متصفح تستخدمه، ثم انتقل إلى أهم تطبيقاتك.
تحقق من أحدث إصدارات كل تطبيق، وابحث عن مراجع محددة لمعرف CVE-2023-4863. إذا لم تتمكن من العثور على إشارات إلى هذه الثغرة الأمنية في أحدث ملاحظات الإصدار، ففكر في التبديل إلى بديل آمن حتى يعالج تطبيقك المفضل المشكلة. إذا لم يكن هذا خيارًا، فتحقق من وجود تحديثات الأمان التي تم إصدارها بعد 12 سبتمبر واستمر في التحديث بمجرد إصدار تصحيحات الأمان الجديدة.
لن يضمن هذا معالجة CVE-2023-4863 ولكنه أفضل خيار احتياطي لديك في هذه المرحلة.
WebP: حل جيد مع حكاية تحذيرية
أطلقت Google WebP في عام 2010 كحل لعرض الصور بشكل أسرع في المتصفحات والتطبيقات الأخرى. يوفر التنسيق ضغطًا بدون فقد أو فقدان يمكن أن يقلل حجم ملفات الصور بنسبة 30 بالمائة تقريبًا مع الحفاظ على الجودة الملموسة.
من ناحية الأداء، يعد WebP حلاً جيدًا لتقليل أوقات العرض. ومع ذلك، فهي أيضًا قصة تحذيرية حول إعطاء الأولوية لجانب معين من الأداء على الجوانب الأخرى، أي الأمان. عندما يلتقي التطوير غير المكتمل بالاعتماد على نطاق واسع، فإنه يخلق عاصفة مثالية لنقاط الضعف في المصدر. ومع تزايد عمليات استغلال يوم الصفر، تحتاج شركات مثل جوجل إلى رفع مستوى أدائها وإلا سيتعين على المطورين تدقيق التقنيات بشكل أكبر.