एक प्रमुख भेद्यता, CVE-2023-4863, हैकर्स को आपके पूरे सिस्टम तक रिमोट एक्सेस दे सकती है। यहाँ क्या करना है.

वेबपी कोडेक में एक गंभीर भेद्यता का पता चला है, जो प्रमुख ब्राउज़रों को सुरक्षा अपडेट को तेजी से ट्रैक करने के लिए मजबूर कर रही है। हालाँकि, समान WebP रेंडरिंग कोड के व्यापक उपयोग का मतलब है कि अनगिनत ऐप्स भी प्रभावित होंगे, जब तक कि वे सुरक्षा पैच जारी नहीं करते।

तो CVE-2023-4863 भेद्यता क्या है? यह कितना बुरा है? और आप क्या कर सकते हैं?

WebP CVE-2023-4863 भेद्यता क्या है?

WebP कोडेक में समस्या को CVE-2023-4863 नाम दिया गया है। रूट वेबपी रेंडरिंग कोड ("बिल्डहफमैनटेबल") के एक विशिष्ट फ़ंक्शन के भीतर स्थित है, जो कोडेक को असुरक्षित बनाता है ढेर बफ़र ओवरफ्लो हो जाता है.

हीप बफ़र ओवरलोड तब होता है जब कोई प्रोग्राम मेमोरी बफ़र में उसके होल्ड करने के लिए डिज़ाइन की तुलना में अधिक डेटा लिखता है। जब ऐसा होता है, तो यह संभावित रूप से आसन्न मेमोरी और दूषित डेटा को अधिलेखित कर सकता है। अभी भी बदतर, हैकर्स सिस्टम पर कब्ज़ा करने के लिए हीप बफर ओवरफ्लो का फायदा उठा सकते हैं और उपकरण दूर से।

हैकर्स बफ़र ओवरफ़्लो कमजोरियों वाले ऐप्स को लक्षित कर सकते हैं और उन्हें दुर्भावनापूर्ण डेटा भेज सकते हैं। उदाहरण के लिए, वे एक दुर्भावनापूर्ण WebP छवि अपलोड कर सकते हैं जो उपयोगकर्ता के ब्राउज़र या किसी अन्य ऐप में देखने पर उसके डिवाइस पर कोड प्रदर्शित करती है।

instagram viewer

वेबपी कोडेक जैसे व्यापक रूप से उपयोग किए जाने वाले कोड में मौजूद इस प्रकार की भेद्यता एक गंभीर मुद्दा है। प्रमुख ब्राउज़रों के अलावा, अनगिनत ऐप्स WebP छवियों को प्रस्तुत करने के लिए समान कोडेक का उपयोग करते हैं। इस स्तर पर, CVE-2023-4863 भेद्यता इतनी व्यापक है कि हम यह नहीं जान सकते कि यह वास्तव में कितनी बड़ी है और सफाई गड़बड़ होने वाली है।

क्या मेरे पसंदीदा ब्राउज़र का उपयोग करना सुरक्षित है?

हाँ, अधिकांश प्रमुख ब्राउज़रों ने इस समस्या के समाधान के लिए पहले ही अपडेट जारी कर दिए हैं। इसलिए, जब तक आप अपने ऐप्स को नवीनतम संस्करण में अपडेट करते हैं, आप हमेशा की तरह वेब ब्राउज़ कर सकते हैं। Google, Mozilla, Microsoft, Brave, और Tor सभी ने सुरक्षा पैच जारी कर दिए हैं और जब तक आप इसे पढ़ रहे होंगे तब तक अन्य ने भी संभवतः ऐसा कर दिया होगा।

इस विशिष्ट भेद्यता के समाधान वाले अद्यतन हैं:

  • क्रोम: संस्करण 116.0.5846.187 (मैक/लिनक्स); संस्करण 116.0.5845.187/.188 (विंडोज़)
  • फ़ायरफ़ॉक्स: फ़ायरफ़ॉक्स 117.0.1; फ़ायरफ़ॉक्स ईएसआर 115.2.1; थंडरबर्ड 115.2.2
  • किनारा: एज संस्करण 116.0.1938.81
  • बहादुर: बहादुर संस्करण 1.57.64
  • तोर: टोर ब्राउज़र 12.5.4

यदि आप किसी भिन्न ब्राउज़र का उपयोग कर रहे हैं, तो नवीनतम अपडेट की जांच करें और WebP में CVE-2023-4863 हीप बफर ओवरफ्लो भेद्यता के विशिष्ट संदर्भ देखें। उदाहरण के लिए, क्रोम की अपडेट घोषणा में निम्नलिखित संदर्भ शामिल है: "क्रिटिकल सीवीई-2023-4863: वेबपी में हीप बफर ओवरफ्लो"।

यदि आपको अपने पसंदीदा ब्राउज़र के नवीनतम संस्करण में इस भेद्यता का संदर्भ नहीं मिल रहा है, तो ऊपर सूचीबद्ध एक पर स्विच करें जब तक कि आपकी पसंद के ब्राउज़र के लिए कोई समाधान जारी न हो जाए।

क्या मैं अपने पसंदीदा ऐप्स का उपयोग करने में सुरक्षित हूं?

यहीं पर वो मुश्किल हो जाता है। दुर्भाग्य से, CVE-2023-4863 WebP भेद्यता अज्ञात संख्या में ऐप्स को भी प्रभावित करती है। सबसे पहले, किसी भी सॉफ़्टवेयर का उपयोग करना libwebp लाइब्रेरी इस भेद्यता से प्रभावित है, जिसका अर्थ है कि प्रत्येक प्रदाता को अपने स्वयं के सुरक्षा पैच जारी करने की आवश्यकता होगी।

मामले को और अधिक जटिल बनाने के लिए, इस भेद्यता को ऐप्स बनाने के लिए उपयोग किए जाने वाले कई लोकप्रिय ढांचे में शामिल किया गया है। इन उदाहरणों में, पहले फ्रेमवर्क को अपडेट करने की आवश्यकता होती है और फिर, उनका उपयोग करने वाले सॉफ़्टवेयर प्रदाताओं को अपने उपयोगकर्ताओं की सुरक्षा के लिए नवीनतम संस्करण में अपडेट करने की आवश्यकता होती है। इससे औसत उपयोगकर्ता के लिए यह जानना बहुत मुश्किल हो जाता है कि कौन से ऐप्स प्रभावित हुए हैं और किन ऐप्स ने समस्या का समाधान कर दिया है।

प्रभावित ऐप्स में माइक्रोसॉफ्ट टीम्स, स्लैक, स्काइप, डिस्कॉर्ड, टेलीग्राम, 1पासवर्ड, सिग्नल, लिबरऑफिस और एफिनिटी सूट समेत कई अन्य ऐप्स शामिल हैं।

1Password ने एक अपडेट जारी किया है समस्या का समाधान करने के लिए, हालाँकि इसके घोषणा पृष्ठ में CVE-2023-4863 भेद्यता आईडी के लिए एक टाइपो शामिल है (इसे -63 के बजाय -36 के साथ समाप्त किया जाता है)। एप्पल ने भी किया है macOS के लिए एक सुरक्षा पैच जारी किया ऐसा प्रतीत होता है कि यह उसी समस्या का समाधान करता है, लेकिन यह इसे विशेष रूप से संदर्भित नहीं करता है। वैसे ही, स्लैक ने एक सुरक्षा अद्यतन जारी किया 12 सितंबर को (संस्करण 4.34.119) लेकिन सीवीई-2023-4863 का संदर्भ नहीं देता।

सब कुछ अपडेट करें और सावधानी से आगे बढ़ें

एक उपयोगकर्ता के रूप में, CVE-2023-4863 WebP कोडेक्स भेद्यता के बारे में आप केवल सब कुछ अपडेट कर सकते हैं। आपके द्वारा उपयोग किए जाने वाले प्रत्येक ब्राउज़र से शुरुआत करें, और फिर अपने सबसे महत्वपूर्ण ऐप्स के माध्यम से आगे बढ़ें।

प्रत्येक ऐप के लिए नवीनतम रिलीज़ संस्करण जांचें और CVE-2023-4863 आईडी के विशिष्ट संदर्भ देखें। यदि आपको नवीनतम रिलीज़ नोट्स में इस भेद्यता का संदर्भ नहीं मिलता है, तो एक सुरक्षित विकल्प पर स्विच करने पर विचार करें जब तक कि आपका पसंदीदा ऐप समस्या का समाधान न कर दे। यदि यह विकल्प नहीं है, तो 12 सितंबर के बाद जारी किए गए सुरक्षा अपडेट की जांच करें और नए सुरक्षा पैच जारी होते ही अपडेट करते रहें।

यह इस बात की गारंटी नहीं देगा कि CVE-2023-4863 को संबोधित किया जा रहा है, लेकिन यह इस बिंदु पर आपके लिए सबसे अच्छा फ़ॉल-बैक विकल्प है।

वेबपी: एक सावधानी भरी कहानी के साथ एक बढ़िया समाधान

Google ने ब्राउज़रों और अन्य अनुप्रयोगों में छवियों को तेज़ी से प्रस्तुत करने के समाधान के रूप में 2010 में WebP लॉन्च किया। प्रारूप हानिपूर्ण और दोषरहित संपीड़न प्रदान करता है जो बोधगम्य गुणवत्ता को बनाए रखते हुए छवि फ़ाइलों के आकार को ~30 प्रतिशत तक कम कर सकता है।

प्रदर्शन के लिहाज से, वेबपी रेंडरिंग समय को कम करने के लिए एक अच्छा समाधान है। हालाँकि, यह दूसरों के मुकाबले प्रदर्शन के एक विशिष्ट पहलू को प्राथमिकता देने की एक सतर्क कहानी भी है - अर्थात् सुरक्षा। जब आधा-अधूरा विकास व्यापक रूप से अपनाया जाता है, तो यह स्रोत की कमजोरियों के लिए एक आदर्श तूफान पैदा करता है। और, शून्य-दिन के कारनामों में वृद्धि के साथ, Google जैसी कंपनियों को अपने खेल को बेहतर बनाने की आवश्यकता है या डेवलपर्स को प्रौद्योगिकियों की अधिक जांच करनी होगी।