Home-theater-designers
WebP 코덱의 심각한 취약점이 발견되어 주요 브라우저에서 보안 업데이트를 빠르게 진행해야 합니다. 그러나 동일한 WebP 렌더링 코드가 널리 사용된다는 것은 보안 패치가 출시될 때까지 수많은 앱도 영향을 받는다는 것을 의미합니다.
MUO 오늘의 영상 콘텐츠를 계속하려면 스크롤하세요.
그렇다면 CVE-2023-4863 취약점은 무엇입니까? 얼마나 나빠? 그리고 당신은 무엇을 할 수 있나요?
WebP CVE-2023-4863 취약점이란 무엇입니까?
WebP 코덱의 문제 이름은 CVE-2023-4863입니다. 루트는 WebP 렌더링 코드(“BuildHuffmanTable”)의 특정 기능 내에 있으므로 코덱을 다음에 취약하게 만듭니다. 힙 버퍼 오버플로 .
힙 버퍼 오버로드는 프로그램이 보유하도록 설계된 것보다 더 많은 데이터를 메모리 버퍼에 쓸 때 발생합니다. 이런 일이 발생하면 잠재적으로 인접한 메모리를 덮어쓰고 데이터가 손상될 수 있습니다. 더 나쁜 것은, 해커는 힙 버퍼 오버플로를 악용하여 시스템을 장악할 수 있습니다. 그리고 원격으로 장치.
해커는 버퍼 오버플로 취약점이 있는 것으로 알려진 앱을 표적으로 삼아 악성 데이터를 보낼 수 있습니다. 예를 들어, 사용자가 브라우저나 다른 앱에서 볼 때 사용자 장치에 코드를 배포하는 악성 WebP 이미지를 업로드할 수 있습니다.
WebP 코덱만큼 널리 사용되는 코드에 존재하는 이러한 취약점은 심각한 문제입니다. 주요 브라우저 외에도 수많은 앱이 동일한 코덱을 사용하여 WebP 이미지를 렌더링합니다. 현 단계에서는 CVE-2023-4863 취약점이 너무 널리 퍼져 있어 실제로 그 규모가 얼마나 큰지 알 수 없으며 정리도 엉망이 될 것입니다.
내가 즐겨 사용하는 브라우저를 사용해도 안전한가요?
예, 대부분의 주요 브라우저는 이미 이 문제를 해결하기 위한 업데이트를 출시했습니다. 따라서 앱을 최신 버전으로 업데이트하기만 하면 평소처럼 웹을 탐색할 수 있습니다. Google, Mozilla, Microsoft, Brave 및 Tor는 모두 보안 패치를 출시했으며 여러분이 이 글을 읽고 있는 시점에는 다른 업체들도 이미 출시했을 것입니다.
이 특정 취약점에 대한 수정 사항이 포함된 업데이트는 다음과 같습니다.
- 크롬: 버전 116.0.5846.187(맥/리눅스); 버전 116.0.5845.187/.188(Windows)
- 파이어폭스: 파이어폭스 117.0.1; 파이어폭스 ESR 115.2.1; 썬더버드 115.2.2
- 가장자리: 엣지 버전 116.0.1938.81
- 용감한: 브레이브 버전 1.57.64
- 토르: 토르 브라우저 12.5.4
다른 브라우저를 사용하는 경우 최신 업데이트를 확인하고 WebP의 CVE-2023-4863 힙 버퍼 오버플로 취약점에 대한 특정 참조를 찾아보세요. 예를 들어 Chrome의 업데이트 발표에는 'Critical CVE-2023-4863: WebP의 힙 버퍼 오버플로'라는 참조가 포함되어 있습니다.
즐겨 사용하는 브라우저의 최신 버전에서 이 취약점에 대한 참조를 찾을 수 없는 경우 선택한 브라우저에 대한 수정 사항이 릴리스될 때까지 위에 나열된 브라우저로 전환하세요.
내가 좋아하는 앱을 사용해도 안전한가요?
이것이 까다로워지는 곳입니다. 불행하게도 CVE-2023-4863 WebP 취약점은 알려지지 않은 수의 앱에도 영향을 미칩니다. 첫째, 사용하는 모든 소프트웨어 libwebp 라이브러리 은(는) 이 취약점의 영향을 받습니다. 즉, 각 공급자는 자체 보안 패치를 출시해야 합니다.
문제를 더 복잡하게 만드는 것은 이 취약점이 앱을 구축하는 데 사용되는 많은 인기 프레임워크에 포함되어 있다는 것입니다. 이러한 경우 프레임워크를 먼저 업데이트해야 하며, 그런 다음 이를 사용하는 소프트웨어 제공업체는 사용자를 보호하기 위해 최신 버전으로 업데이트해야 합니다. 이로 인해 일반 사용자는 어떤 앱이 영향을 받았는지, 어떤 앱이 문제를 해결했는지 알기가 매우 어렵습니다.
안드로이드에서 사진을 잠그는 방법
에 의해 발견됨 스택 일기의 Alex Ivanovs , 영향을 받는 앱에는 Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice 및 Affinity 제품군 등이 포함됩니다.
1Password가 업데이트를 출시했습니다. 발표 페이지에는 CVE-2023-4863 취약점 ID(-63 대신 -36으로 끝남)에 대한 오타가 포함되어 있지만 문제를 해결하기 위해 노력했습니다. 애플도 있다 macOS용 보안 패치 출시 동일한 문제를 해결하는 것으로 보이지만 구체적으로 언급하지는 않습니다. 비슷하게, Slack이 보안 업데이트를 출시했습니다. 9월 12일(버전 4.34.119)에 있지만 CVE-2023-4863을 참조하지 않습니다.
모든 것을 업데이트하고 신중하게 진행하세요
사용자로서 CVE-2023-4863 WebP Codex 취약점에 대해 할 수 있는 유일한 일은 모든 것을 업데이트하는 것입니다. 사용하는 모든 브라우저에서 시작한 다음 가장 중요한 앱을 통해 작업해 보세요.
가능한 모든 앱의 최신 릴리스 버전을 확인하고 CVE-2023-4863 ID에 대한 특정 참조를 찾아보세요. 최신 릴리스 노트에서 이 취약점에 대한 참조를 찾을 수 없는 경우 선호하는 앱이 문제를 해결할 때까지 안전한 대안으로 전환하는 것이 좋습니다. 이것이 선택 사항이 아닌 경우 9월 12일 이후에 출시된 보안 업데이트를 확인하고 새 보안 패치가 출시되는 대로 계속 업데이트하세요.
CVE-2023-4863이 해결된다는 보장은 없지만 현 시점에서 사용할 수 있는 최선의 대체 옵션입니다.
WebP: 주의 사항이 담긴 훌륭한 솔루션
Google은 브라우저 및 기타 애플리케이션에서 이미지를 더 빠르게 렌더링하기 위한 솔루션으로 2010년에 WebP를 출시했습니다. 이 형식은 눈에 띄는 품질을 유지하면서 이미지 파일의 크기를 최대 30%까지 줄일 수 있는 손실 및 무손실 압축을 제공합니다.
성능 측면에서 WebP는 렌더링 시간을 줄이는 데 탁월한 솔루션입니다. 그러나 이는 보안과 같은 성능의 특정 측면을 다른 것보다 우선시한다는 경고적인 이야기이기도 합니다. 설익은 개발이 광범위한 채택을 만나면 소스 취약점에 대한 완벽한 폭풍이 발생합니다. 그리고 제로데이 익스플로잇이 증가함에 따라 Google과 같은 회사는 역량을 강화해야 하며, 그렇지 않으면 개발자는 기술을 더 면밀히 조사해야 합니다.