WebP CVE-2023-4863漏洞是什么？主要影响有哪些？下载

软件下载 11月 07, 2023 0 king

一个主要的 WebP 漏洞 CVE-2023-4863 可以让黑客远程访问你的整个系统。WebP 编解码器中的一个严重漏洞已被发现，迫使主要浏览器快速跟踪安全升级。然而，相同 WebP 渲染代码的广泛使用意味着无数应用程序也会受到影响，直到它们发布安全补丁为止。

那么 CVE-2023-4863 漏洞是什么？有多糟糕？你能做什么？

浏览器和应用程序

WebP CVE-2023-4863 漏洞是什么？

WebP 编解码器中的问题已命名为 CVE-2023-4863。根源在于 WebP 渲染代码的特定函数（“BuildHuffmanTable”），使编解码器容易受到堆缓冲区溢出的影响。

当程序向内存缓冲区写入的数据多于其设计容纳的数据时，就会发生堆缓冲区过载。发生这种情况时，可能会覆盖相邻内存并损坏数据。更糟糕的是，黑客可以利用堆缓冲区溢出来远程接管系统和设备。

黑客可以针对已知存在缓冲区溢出漏洞的应用程序并向其发送恶意数据。例如，他们可以上传恶意 WebP 图像，当用户在浏览器或其他应用程序中查看该图像时，该图像会在用户的设备上部署代码。

像 WebP Codec 这样广泛使用的代码中存在的这种漏洞是一个严重的问题。除了主要浏览器之外，无数应用程序使用相同的编解码器来渲染 WebP 图像。现阶段，CVE-2023-4863 漏洞太普遍了，知识兔无法知道它到底有多大，而且知识兔清理工作也会很混乱。

我最喜欢的浏览器安全吗？

是的，大多数主流浏览器已经发布了升级来解决这个问题。因此，只要您将应用程序升级到最新版本，就可以照常浏览网页。谷歌、Mozilla、微软、Brave 和 Tor 都已经发布了安全补丁，在您阅读本文时其他公司可能也已经发布了安全补丁。

包含针对此特定漏洞的修复的升级包括：

Chrome: 版本 116.0.5846.187 (Mac / Linux); 版本 116.0.5845.187/.188 (Windows)
Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
Edge: Edge 版本 116.0.1938.81
Brave: Brave 版本 1.57.64
Tor: Tor Browser 12.5.4

如果知识兔您使用其他浏览器，请检查最新升级并查找 WebP 中 CVE-2023-4863 堆缓冲区溢出漏洞的详细引用。例如，Chrome 的升级公告包含以下参考内容：“Critical CVE-2023-4863：WebP 中的堆缓冲区溢出”。

如果知识兔您在您喜爱的浏览器的最新版本中找不到对此漏洞的参考，请切换到上面列出的版本，直到针对您选择的浏览器发布修复程序为止。

我可以安全地使用我最喜欢的应用程序吗？

这就是棘手的地方。不幸的是，CVE-2023-4863 WebP 漏洞还影响了未知数量的应用程序。首先，任何使用libwebp库的软件都会受到此漏洞的影响，这意味着每个分享商都需要发布自己的安全补丁。

使事情变得更加复杂的是，这个漏洞被嵌入到许多用于构建应用程序的流行框架中。在这些情况下，框架需要首先升级，然后知识兔使用它们的软件分享商需要升级到最新版本以保护其用户。这使得普通用户很难知道哪些应用程序受到影响以及哪些应用程序已经解决了该问题。

受影响的应用程序包括 Microsoft Teams、Slack、Skype、Discord、1Password、Signal、LibreOffice 和 Affinity 套件等。

1Password 已发布升级来解决该问题，尽管其公告页面包含 CVE-2023-4863 漏洞 ID 的拼写错误（以 -36 结尾，而不是 -63）。苹果还发布了 macOS 的安全补丁，似乎解决了同样的问题，但没有详细提及。同样，Slack 于 9 月 12 日发布了安全升级（版本 4.34.119），但没有引用 CVE-2023-4863。