Kerentanan utama, CVE-2023-4863, dapat memberi peretas akses jarak jauh ke seluruh sistem Anda. Inilah yang harus dilakukan.
Kerentanan kritis dalam WebP Codec telah ditemukan, memaksa browser utama untuk mempercepat pembaruan keamanan. Namun, meluasnya penggunaan kode rendering WebP yang sama menyebabkan banyak aplikasi juga terpengaruh, hingga mereka merilis patch keamanan.
Jadi apa kerentanan CVE-2023-4863? Seberapa buruk? Dan apa yang bisa kamu lakukan?
Apa Itu Kerentanan WebP CVE-2023-4863?
Masalah dalam Codec WebP diberi nama CVE-2023-4863. Akarnya terletak pada fungsi tertentu dari kode rendering WebP (“BuildHuffmanTable”), membuat codec rentan terhadap buffer tumpukan meluap.
Kelebihan beban buffer heap terjadi ketika suatu program menulis lebih banyak data ke buffer memori daripada yang dirancang untuk ditampungnya. Jika hal ini terjadi, hal ini berpotensi menimpa memori yang berdekatan dan merusak data. Lebih buruk lagi, peretas dapat mengeksploitasi heap buffer overflows untuk mengambil alih sistem dan perangkat dari jarak jauh.
Peretas dapat menargetkan aplikasi yang diketahui memiliki kerentanan buffer overflow dan mengirimkan data berbahaya kepada mereka. Misalnya, mereka dapat mengunggah gambar WebP berbahaya yang menyebarkan kode pada perangkat pengguna saat mereka melihatnya di browser atau aplikasi lain.
Kerentanan seperti ini yang ada dalam kode yang banyak digunakan seperti WebP Codec adalah masalah serius. Selain browser utama, banyak sekali aplikasi yang menggunakan codec yang sama untuk merender gambar WebP. Pada tahap ini, kerentanan CVE-2023-4863 sudah terlalu luas bagi kita untuk mengetahui seberapa besar kerentanan tersebut dan pembersihannya akan menjadi berantakan.
Apakah Aman Menggunakan Browser Favorit Saya?
Ya, sebagian besar browser utama telah merilis pembaruan untuk mengatasi masalah ini. Jadi, selama Anda memperbarui aplikasi ke versi terbaru, Anda dapat menjelajahi web seperti biasa. Google, Mozilla, Microsoft, Brave, dan Tor semuanya telah merilis patch keamanan dan pihak lain mungkin telah merilisnya pada saat Anda membaca ini.
Pembaruan yang berisi perbaikan untuk kerentanan khusus ini adalah:
- krom: Versi 116.0.5846.187 (Mac/Linux); versi 116.0.5845.187/.188 (Windows)
- Firefox: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
- Tepian: Versi tepi 116.0.1938.81
- Berani: Versi berani 1.57.64
- untuk: Peramban Tor 12.5.4
Jika Anda menggunakan browser lain, periksa pembaruan terkini dan cari referensi spesifik tentang kerentanan heap buffer overflow CVE-2023-4863 di WebP. Misalnya, pengumuman pembaruan Chrome menyertakan referensi berikut: “Critical CVE-2023-4863: Heap buffer overflow in WebP”.
Jika Anda tidak dapat menemukan referensi tentang kerentanan ini di versi terbaru browser favorit Anda, beralihlah ke versi yang tercantum di atas hingga perbaikan dirilis untuk browser pilihan Anda.
Apakah Saya Aman Menggunakan Aplikasi Favorit Saya?
Di sinilah segalanya menjadi rumit. Sayangnya, kerentanan WebP CVE-2023-4863 juga memengaruhi sejumlah aplikasi yang tidak diketahui. Pertama, perangkat lunak apa pun yang digunakan perpustakaan libwebp terpengaruh oleh kerentanan ini, yang berarti setiap penyedia harus merilis patch keamanannya sendiri.
Yang lebih rumit lagi, kerentanan ini dimasukkan ke dalam banyak kerangka kerja populer yang digunakan untuk membangun aplikasi. Dalam hal ini, kerangka kerja perlu diperbarui terlebih dahulu, kemudian penyedia perangkat lunak yang menggunakannya perlu memperbarui ke versi terbaru untuk melindungi penggunanya. Hal ini membuat sangat sulit bagi rata-rata pengguna untuk mengetahui aplikasi mana yang terpengaruh dan mana yang telah mengatasi masalah tersebut.
Aplikasi yang terpengaruh termasuk Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice, dan rangkaian Affinity—dan masih banyak lagi.
1Password telah merilis pembaruan untuk mengatasi masalah ini, meskipun halaman pengumumannya memuat kesalahan ketik untuk ID kerentanan CVE-2023-4863 (diakhiri dengan -36, bukan -63). Apple juga punya merilis patch keamanan untuk macOS yang tampaknya menyelesaikan masalah yang sama, namun tidak merujuknya secara spesifik. Juga, Slack merilis pembaruan keamanan pada 12 September (versi 4.34.119) tetapi tidak merujuk pada CVE-2023-4863.
Perbarui Semuanya dan Lanjutkan dengan Hati-hati
Sebagai pengguna, satu-satunya hal yang dapat Anda lakukan terhadap kerentanan WebP Codex CVE-2023-4863 adalah memperbarui semuanya. Mulailah dengan setiap browser yang Anda gunakan, lalu lanjutkan melalui aplikasi terpenting Anda.
Periksa versi rilis terbaru untuk setiap aplikasi dan cari referensi spesifik ke ID CVE-2023-4863. Jika Anda tidak dapat menemukan referensi mengenai kerentanan ini di catatan rilis terbaru, pertimbangkan untuk beralih ke alternatif yang aman hingga aplikasi pilihan Anda mengatasi masalah tersebut. Jika ini bukan pilihan, periksa pembaruan keamanan yang dirilis setelah 12 September dan terus perbarui segera setelah patch keamanan baru dirilis.
Hal ini tidak menjamin CVE-2023-4863 ditangani, tetapi ini adalah opsi cadangan terbaik yang Anda miliki saat ini.
WebP: Solusi Bagus dengan Kisah Perhatian
Google meluncurkan WebP pada tahun 2010 sebagai solusi untuk merender gambar lebih cepat di browser dan aplikasi lainnya. Format ini memberikan kompresi lossy dan lossless yang dapat mengurangi ukuran file gambar hingga ~30 persen dengan tetap menjaga kualitas yang terlihat.
Dari segi kinerja, WebP adalah solusi bagus untuk mengurangi waktu rendering. Namun, hal ini juga merupakan sebuah peringatan dalam memprioritaskan aspek kinerja tertentu dibandingkan aspek lainnya, yaitu keamanan. Ketika pengembangan yang setengah matang diikuti dengan adopsi yang luas, hal ini menciptakan badai sempurna bagi sumber kerentanan. Dan, dengan meningkatnya eksploitasi zero-day, perusahaan seperti Google perlu meningkatkan permainan mereka atau pengembang harus lebih meneliti teknologi.