Una vulnerabilidad importante, CVE-2023-4863, puede brindar a los piratas informáticos acceso remoto a todo su sistema. Esto es lo que debe hacer.
Se ha descubierto una vulnerabilidad crítica en el códec WebP, lo que obliga a los principales navegadores a acelerar las actualizaciones de seguridad. Sin embargo, el uso generalizado del mismo código de representación WebP significa que innumerables aplicaciones también se ven afectadas, hasta que se publiquen parches de seguridad.
Entonces, ¿qué es la vulnerabilidad CVE-2023-4863? ¿Qué tan malo es? ¿Y tú qué puedes hacer?
¿Qué es la vulnerabilidad WebP CVE-2023-4863?
El problema en el códec WebP se denominó CVE-2023-4863. La raíz se encuentra dentro de una función específica del código de renderizado WebP (la “BuildHuffmanTable”), lo que hace que el códec sea vulnerable a desbordamientos del buffer del montón.
Una sobrecarga del búfer de montón ocurre cuando un programa escribe más datos en un búfer de memoria de los que está diseñado para contener. Cuando esto sucede, potencialmente puede sobrescribir la memoria adyacente y dañar los datos. Peor aún,
Los piratas informáticos pueden aprovechar los desbordamientos del búfer del montón para apoderarse de los sistemas. y dispositivos de forma remota.Los piratas informáticos pueden atacar aplicaciones que se sabe que tienen vulnerabilidades de desbordamiento del búfer y enviarles datos maliciosos. Por ejemplo, podrían cargar una imagen WebP maliciosa que implemente código en el dispositivo del usuario cuando lo ve en su navegador u otra aplicación.
Este tipo de vulnerabilidad existente en código tan utilizado como el códec WebP es un problema grave. Aparte de los principales navegadores, innumerables aplicaciones utilizan el mismo códec para representar imágenes WebP. En esta etapa, la vulnerabilidad CVE-2023-4863 está demasiado extendida para que sepamos qué tan grande es realmente y la limpieza será complicada.
¿Es seguro utilizar mi navegador favorito?
Sí, la mayoría de los principales navegadores ya han publicado actualizaciones para solucionar este problema. Entonces, siempre que actualices tus aplicaciones a la última versión, podrás navegar por la web como de costumbre. Google, Mozilla, Microsoft, Brave y Tor han lanzado parches de seguridad y probablemente otros ya lo hayan hecho en el momento en que lees esto.
Las actualizaciones que contienen correcciones para esta vulnerabilidad específica son:
- Cromo: Versión 116.0.5846.187 (Mac/Linux); versión 116.0.5845.187/.188 (Windows)
- Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
- Borde: Versión de borde 116.0.1938.81
- Corajudo: Valiente versión 1.57.64
- Colina: Navegador Tor 12.5.4
Si está utilizando un navegador diferente, busque las últimas actualizaciones y busque referencias específicas a la vulnerabilidad de desbordamiento del búfer de montón CVE-2023-4863 en WebP. Por ejemplo, el anuncio de actualización de Chrome incluye la siguiente referencia: "CVE-2023-4863 crítico: desbordamiento del búfer de montón en WebP".
Si no puede encontrar una referencia a esta vulnerabilidad en la última versión de su navegador favorito, cambie a uno de los enumerados anteriormente hasta que se publique una solución para el navegador de su elección.
¿Es seguro utilizar mis aplicaciones favoritas?
Aqui es donde se pone complicado. Desafortunadamente, la vulnerabilidad WebP CVE-2023-4863 también afecta a un número desconocido de aplicaciones. En primer lugar, cualquier software que utilice la biblioteca libwebp se ve afectado por esta vulnerabilidad, lo que significa que cada proveedor deberá lanzar sus propios parches de seguridad.
Para complicar más las cosas, esta vulnerabilidad está integrada en muchos marcos populares utilizados para crear aplicaciones. En estos casos, los marcos deben actualizarse primero y, luego, los proveedores de software que los utilizan deben actualizarse a la última versión para proteger a sus usuarios. Esto hace que sea muy difícil para el usuario medio saber qué aplicaciones están afectadas y cuáles han solucionado el problema.
Las aplicaciones afectadas incluyen Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice y la suite Affinity, entre muchas más.
1Password ha lanzado una actualización para solucionar el problema, aunque su página de anuncio incluye un error tipográfico para el ID de vulnerabilidad CVE-2023-4863 (que termina con -36, en lugar de -63). Apple también tiene lanzó un parche de seguridad para macOS eso parece resolver el mismo problema, pero no hace referencia a él específicamente. Asimismo, Slack lanzó una actualización de seguridad el 12 de septiembre (versión 4.34.119) pero no hace referencia a CVE-2023-4863.
Actualice todo y proceda con cuidado
Como usuario, lo único que puede hacer con respecto a la vulnerabilidad CVE-2023-4863 WebP Codex es actualizar todo. Comience con cada navegador que utilice y luego avance a través de sus aplicaciones más importantes.
Consulte las últimas versiones de cada aplicación que pueda y busque referencias específicas al ID CVE-2023-4863. Si no puede encontrar referencias a esta vulnerabilidad en las notas de la versión más recientes, considere cambiar a una alternativa segura hasta que su aplicación preferida solucione el problema. Si esta no es una opción, busque actualizaciones de seguridad publicadas después del 12 de septiembre y siga actualizando tan pronto como se publiquen nuevos parches de seguridad.
Esto no garantizará que se esté solucionando el problema CVE-2023-4863, pero es la mejor opción alternativa que tiene en este momento.
WebP: una buena solución con una advertencia
Google lanzó WebP en 2010 como una solución para renderizar imágenes más rápido en navegadores y otras aplicaciones. El formato proporciona compresión con y sin pérdida que puede reducir el tamaño de los archivos de imagen en aproximadamente un 30 por ciento manteniendo una calidad perceptible.
En cuanto al rendimiento, WebP es una buena solución para reducir los tiempos de renderizado. Sin embargo, también es una advertencia sobre cómo priorizar un aspecto específico del rendimiento sobre otros: es decir, la seguridad. Cuando un desarrollo a medias se encuentra con una adopción generalizada, se crea una tormenta perfecta para las vulnerabilidades de origen. Y, con el aumento de los exploits de día cero, empresas como Google necesitan mejorar su juego o los desarrolladores tendrán que examinar más las tecnologías.