Home-theater-designers
WebP కోడెక్లో ఒక క్లిష్టమైన దుర్బలత్వం కనుగొనబడింది, ప్రధాన బ్రౌజర్లు భద్రతా అప్డేట్లను త్వరితగతిన ట్రాక్ చేయవలసి వస్తుంది. ఏదేమైనప్పటికీ, అదే WebP రెండరింగ్ కోడ్ని విస్తృతంగా ఉపయోగించడం అంటే లెక్కలేనన్ని యాప్లు సెక్యూరిటీ ప్యాచ్లను విడుదల చేసే వరకు కూడా ప్రభావితమవుతాయి.
రోజు MUO వీడియో కంటెంట్తో కొనసాగడానికి స్క్రోల్ చేయండి
కాబట్టి CVE-2023-4863 దుర్బలత్వం అంటే ఏమిటి? ఇది ఎంత చెడ్డది? మరియు మీరు ఏమి చేయగలరు?
WebP CVE-2023-4863 దుర్బలత్వం అంటే ఏమిటి?
WebP కోడెక్లోని సమస్యకు CVE-2023-4863 అని పేరు పెట్టారు. మూలం WebP రెండరింగ్ కోడ్ ('BuildHuffmanTable') యొక్క నిర్దిష్ట ఫంక్షన్లో ఉంది, ఇది కోడెక్ను హాని చేస్తుంది కుప్ప బఫర్ పొంగిపొర్లుతుంది .
ప్రోగ్రామ్ హోల్డ్ చేయడానికి రూపొందించిన దానికంటే ఎక్కువ డేటాను మెమరీ బఫర్కు వ్రాసినప్పుడు హీప్ బఫర్ ఓవర్లోడ్ ఏర్పడుతుంది. ఇది జరిగినప్పుడు, ఇది ప్రక్కనే ఉన్న మెమరీని మరియు పాడైన డేటాను ఓవర్రైట్ చేయగలదు. ఇంకా దారుణంగా, సిస్టమ్లను స్వాధీనం చేసుకోవడానికి హ్యాకర్లు హీప్ బఫర్ ఓవర్ఫ్లోలను ఉపయోగించుకోవచ్చు మరియు పరికరాలు రిమోట్గా.
హ్యాకర్లు బఫర్ ఓవర్ఫ్లో వల్నరబిలిటీలను కలిగి ఉన్న యాప్లను టార్గెట్ చేయవచ్చు మరియు వాటికి హానికరమైన డేటాను పంపవచ్చు. ఉదాహరణకు, వారు హానికరమైన WebP చిత్రాన్ని అప్లోడ్ చేయవచ్చు, అది వినియోగదారు పరికరంలో కోడ్ని వారి బ్రౌజర్లో లేదా మరొక యాప్లో వీక్షించినప్పుడు దాన్ని అమలు చేస్తుంది.
రెడ్డిట్లో కర్మ ఎలా పని చేస్తుంది
వెబ్పి కోడెక్ వలె విస్తృతంగా ఉపయోగించే కోడ్లో ఈ రకమైన దుర్బలత్వం తీవ్రమైన సమస్య. ప్రధాన బ్రౌజర్లను పక్కన పెడితే, లెక్కలేనన్ని యాప్లు WebP చిత్రాలను అందించడానికి ఒకే కోడెక్ని ఉపయోగిస్తాయి. ఈ దశలో, CVE-2023-4863 దుర్బలత్వం చాలా విస్తృతంగా ఉంది, ఇది నిజంగా ఎంత పెద్దదో మరియు క్లీనప్ గందరగోళంగా ఉంటుంది.
నాకు ఇష్టమైన బ్రౌజర్ని ఉపయోగించడం సురక్షితమేనా?
అవును, ఈ సమస్యను పరిష్కరించడానికి చాలా ప్రధాన బ్రౌజర్లు ఇప్పటికే నవీకరణలను విడుదల చేశాయి. కాబట్టి, మీరు మీ యాప్లను తాజా వెర్షన్కి అప్డేట్ చేసినంత కాలం, మీరు ఎప్పటిలాగే వెబ్ని బ్రౌజ్ చేయవచ్చు. Google, Mozilla, Microsoft, Brave మరియు Tor అన్నీ సెక్యూరిటీ ప్యాచ్లను విడుదల చేశాయి మరియు మీరు దీన్ని చదివే సమయానికి ఇతరులు అలా చేసి ఉండవచ్చు.
ఈ నిర్దిష్ట దుర్బలత్వానికి పరిష్కారాలను కలిగి ఉన్న నవీకరణలు:
- Chrome: వెర్షన్ 116.0.5846.187 (Mac / Linux); వెర్షన్ 116.0.5845.187/.188 (Windows)
- Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; థండర్బర్డ్ 115.2.2
- అంచు: ఎడ్జ్ వెర్షన్ 116.0.1938.81
- ధైర్య: బ్రేవ్ వెర్షన్ 1.57.64
- టోర్: టోర్ బ్రౌజర్ 12.5.4
మీరు వేరొక బ్రౌజర్ని ఉపయోగిస్తుంటే, తాజా అప్డేట్ల కోసం తనిఖీ చేయండి మరియు WebPలో CVE-2023-4863 హీప్ బఫర్ ఓవర్ఫ్లో వల్నరబిలిటీకి సంబంధించిన నిర్దిష్ట సూచనల కోసం చూడండి. ఉదాహరణకు, Chrome అప్డేట్ ప్రకటన కింది సూచనను కలిగి ఉంటుంది: “క్రిటికల్ CVE-2023-4863: WebPలో హీప్ బఫర్ ఓవర్ఫ్లో”.
మీకు ఇష్టమైన బ్రౌజర్ యొక్క తాజా వెర్షన్లో మీరు ఈ దుర్బలత్వానికి సంబంధించిన సూచనను కనుగొనలేకపోతే, మీకు నచ్చిన బ్రౌజర్కు పరిష్కారం విడుదలయ్యే వరకు ఎగువ జాబితా చేయబడిన దానికి మారండి.
నాకు ఇష్టమైన యాప్లను ఉపయోగించడం నేను సురక్షితంగా ఉన్నానా?
ఇక్కడే ఇది గమ్మత్తైనది. దురదృష్టవశాత్తూ, CVE-2023-4863 WebP దుర్బలత్వం తెలియని యాప్ల సంఖ్యను కూడా ప్రభావితం చేస్తుంది. ముందుగా, ఏదైనా సాఫ్ట్వేర్ని ఉపయోగించడం libwebp లైబ్రరీ ఈ దుర్బలత్వం ద్వారా ప్రభావితమవుతుంది, అంటే ప్రతి ప్రొవైడర్ వారి స్వంత భద్రతా ప్యాచ్లను విడుదల చేయాల్సి ఉంటుంది.
విషయాలను మరింత క్లిష్టతరం చేయడానికి, యాప్లను రూపొందించడానికి ఉపయోగించే అనేక ప్రసిద్ధ ఫ్రేమ్వర్క్లలో ఈ దుర్బలత్వం బేక్ చేయబడింది. ఈ సందర్భాలలో, ఫ్రేమ్వర్క్లను ముందుగా అప్డేట్ చేయాలి మరియు వాటిని ఉపయోగించే సాఫ్ట్వేర్ ప్రొవైడర్లు తమ వినియోగదారులను రక్షించడానికి తాజా వెర్షన్కు అప్డేట్ చేయాలి. దీని వల్ల ఏ యాప్లు ప్రభావితమయ్యాయి మరియు ఏవి సమస్యను పరిష్కరించాయో తెలుసుకోవడం సగటు వినియోగదారుకు చాలా కష్టతరం చేస్తుంది.
ద్వారా కనుగొనబడింది స్టాక్ డైరీలో అలెక్స్ ఇవనోవ్స్ , ప్రభావితమైన యాప్లలో Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice, మరియు Affinity సూట్ వంటి మరెన్నో ఉన్నాయి.
1పాస్వర్డ్ అప్డేట్ను విడుదల చేసింది సమస్యను పరిష్కరించడానికి, దాని ప్రకటన పేజీ CVE-2023-4863 దుర్బలత్వ ID కోసం అక్షర దోషాన్ని కలిగి ఉన్నప్పటికీ (దీనిని -63కి బదులుగా -36తో ముగించండి). ఆపిల్ కూడా ఉంది macOS కోసం సెక్యూరిటీ ప్యాచ్ని విడుదల చేసింది అదే సమస్యను పరిష్కరిస్తున్నట్లు కనిపిస్తుంది, కానీ ఇది ప్రత్యేకంగా సూచించదు. అదేవిధంగా, స్లాక్ భద్రతా నవీకరణను విడుదల చేసింది సెప్టెంబర్ 12న (వెర్షన్ 4.34.119) కానీ CVE-2023-4863ని సూచించలేదు.
ప్రతిదీ నవీకరించండి మరియు జాగ్రత్తగా కొనసాగండి
వినియోగదారుగా, CVE-2023-4863 WebP కోడెక్స్ దుర్బలత్వం గురించి మీరు చేయగలిగిన ఏకైక విషయం ఏమిటంటే, ప్రతిదీ అప్డేట్ చేయడం. మీరు ఉపయోగించే ప్రతి బ్రౌజర్తో ప్రారంభించి, ఆపై మీ అత్యంత ముఖ్యమైన యాప్ల ద్వారా పని చేయండి.
మీరు చేయగలిగిన ప్రతి యాప్ కోసం తాజా విడుదల సంస్కరణలను తనిఖీ చేయండి మరియు CVE-2023-4863 IDకి నిర్దిష్ట సూచనల కోసం చూడండి. మీరు తాజా విడుదల నోట్స్లో ఈ దుర్బలత్వానికి సంబంధించిన సూచనలను కనుగొనలేకపోతే, మీ ప్రాధాన్య యాప్ సమస్యను పరిష్కరించే వరకు సురక్షిత ప్రత్యామ్నాయానికి మారడాన్ని పరిగణించండి. ఇది ఎంపిక కాకపోతే, సెప్టెంబర్ 12 తర్వాత విడుదల చేయబడిన భద్రతా అప్డేట్ల కోసం తనిఖీ చేయండి మరియు కొత్త భద్రతా ప్యాచ్లు విడుదలైన వెంటనే అప్డేట్ చేస్తూ ఉండండి.
స్నాప్చాట్లో స్ట్రీక్ ఎలా ఉండాలి
ఇది CVE-2023-4863 ప్రసంగించబడుతుందని హామీ ఇవ్వదు కానీ ఈ సమయంలో మీకు లభించిన ఉత్తమ ఫాల్-బ్యాక్ ఎంపిక ఇది.
WebP: ఒక హెచ్చరిక కథతో చక్కటి పరిష్కారం
బ్రౌజర్లు మరియు ఇతర అప్లికేషన్లలో చిత్రాలను వేగంగా అందించడానికి Google WebPని 2010లో ప్రారంభించింది. ఈ ఫార్మాట్ లాస్సీ మరియు లాస్లెస్ కంప్రెషన్ను అందిస్తుంది, ఇది ఇమేజ్ ఫైల్ల పరిమాణాన్ని ~30 శాతం తగ్గించగలదు, అయితే గుర్తించదగిన నాణ్యతను కొనసాగిస్తుంది.
పనితీరు వారీగా, రెండరింగ్ సమయాన్ని తగ్గించడానికి WebP ఒక చక్కని పరిష్కారం. అయినప్పటికీ, ఇది ఇతరులపై పనితీరు యొక్క నిర్దిష్ట అంశానికి ప్రాధాన్యతనిచ్చే హెచ్చరిక కథ-అంటే, భద్రత. సగం బేక్డ్ డెవలప్మెంట్ విస్తృతంగా స్వీకరించబడినప్పుడు, అది మూలాధార దుర్బలత్వాలకు సరైన తుఫానును సృష్టిస్తుంది. మరియు, జీరో-డే దోపిడీలు పెరుగుతున్నందున, Google వంటి కంపెనీలు తమ గేమ్ను మెరుగుపరచాలి లేదా డెవలపర్లు సాంకేతికతలను మరింతగా పరిశీలించవలసి ఉంటుంది.