WebP CVE-2023-4863 の脆弱性とは何ですか?主な影響は何ですか?

重大な WebP の脆弱性 CVE-2023-4863 により、ハッカーがシステム全体にリモートアクセスできる可能性があります。 WebP コーデックに重大な脆弱性が発見され、主要ブラウザはセキュリティ更新を早急に実施する必要に迫られています。 しかし、同じ WebP レンダリング コードが広く使用されているということは、セキュリティ パッチがリリースされるまで、無数のアプリケーションも影響を受けることを意味します。

では、CVE-2023-4863 の脆弱性とは何でしょうか? どれくらいひどいですか? 何ができるでしょうか?

ブラウザとアプリケーション

WebP CVE-2023-4863 の脆弱性とは何ですか?

WebP コーデックの問題は CVE-2023-4863 と名付けられました。 根本的な原因は、WebP レンダリング コードの特定の関数 (「BuildHuffmanTable」) にあり、コーデックがヒープ バッファ オーバーフローに対して脆弱になります。

ヒープ バッファ オーバーロードは、プログラムがメモリ バッファに保持できるデータ量よりも多くのデータを書き込むときに発生します。 このような状況が発生すると、隣接するメモリが上書きされ、データが破損する可能性があります。 さらに悪いことに、ハッカーはヒープ バッファ オーバーフローを悪用して、システムやデバイスをリモートから乗っ取る可能性があります。

ハッカーは、バッファ オーバーフローの脆弱性があることがわかっているアプリケーションをターゲットにして、悪意のあるデータを送信する可能性があります。 たとえば、悪意のある WebP 画像をアップロードし、ブラウザや他のアプリケーションで表示すると、ユーザーのデバイスにコードが展開される可能性があります。

WebP コーデックのような広く使用されているコードにおけるこの脆弱性は深刻な問題です。 主要なブラウザに加えて、無数のアプリケーションが同じコーデックを使用して WebP 画像をレンダリングします。 現段階では、CVE-2023-4863 の脆弱性は広範囲に及んでいるため、その規模を把握することはできず、クリーンアップも面倒なものになるでしょう。

私のお気に入りのブラウザは安全ですか?

はい、ほとんどの主要ブラウザはこの問題に対処するためのアップデートをリリースしています。 したがって、アプリを最新バージョンに更新する限り、通常どおり Web を閲覧できます。 Google、Mozilla、Microsoft、Brave、Tor はすべてセキュリティ パッチをリリースしており、この記事を読んでいる頃には他の企業もパッチをリリースしている可能性があります。

この特定の脆弱性に対する修正を含むアップデートには、次のものが含まれます。

• Chrome:バージョン 116.0.5846.187 (Mac / Linux); バージョン 116.0.5845.187/.188 (Windows)
• Firefox: Firefox 117.0.1、Firefox ESR 115.2.1、Thunderbird 115.2.2
• Edge: Edge バージョン 116.0.1938.81
• Brave: Brave バージョン 1.57.64
• Tor: Tor ブラウザ 12.5.4

別のブラウザを使用している場合は、最新のアップデートを確認し、WebP の CVE-2023-4863 ヒープ バッファ オーバーフロー脆弱性への具体的な参照を探してください。 たとえば、Chrome の更新情報には、「重大 CVE-2023-4863: WebP でのヒープ バッファ オーバーフロー」という参照が含まれています。

お気に入りのブラウザの最新バージョンでこの脆弱性に関する言及が見つからない場合は、選択したブラウザの修正がリリースされるまで、上記のバージョンに切り替えてください。

お気に入りのアプリを安全に使用できますか?

ここが難しいところです。 残念ながら、CVE-2023-4863 WebP の脆弱性は、不明な数のアプリケーションにも影響を与えます。 まず、libwebp ライブラリを使用するすべてのソフトウェアがこの脆弱性の影響を受けるため、各プロバイダーが独自のセキュリティ パッチをリリースする必要があります。

事態をさらに複雑にしているのは、この脆弱性が、アプリケーションの構築に使用される多くの一般的なフレームワークに組み込まれていることです。 このような場合、まずフレームワークを更新し、次にそれらを使用するソフトウェア プロバイダーがユーザーを保護するために最新バージョンに更新する必要があります。 これにより、一般ユーザーにとって、どのアプリが影響を受け、どのアプリで問題が修正されたかを知ることが難しくなります。

影響を受けるアプリケーションには、Microsoft Teams、Slack、Skype、Discord、1Password、Signal、LibreOffice、Affinity スイートなどが含まれます。

1Password はこの問題に対処するためのアップデートをリリースしましたが、発表ページの CVE-2023-4863 脆弱性 ID に誤字があります (末尾が -63 ではなく -36 です)。 Apple 社は、同じ問題に対処すると思われる macOS 用のセキュリティパッチもリリースしたが、具体的には言及しなかった。 同様に、Slack は 9 月 12 日にセキュリティ アップデート (バージョン 4.34.119) をリリースしましたが、CVE-2023-4863 については言及していませんでした。

すべてを更新し、慎重に進めてください

ユーザーとして、CVE-2023-4863 WebP Codex の脆弱性に対して実行できる唯一のことは、すべてを更新することです。 使用する各ブラウザから始めて、最も重要なアプリケーションまで順に進めていきます。

各アプリケーションの最新バージョンを確認し、CVE-2023-4863 ID への具体的な参照を探します。 最新のリリース ノートにこの脆弱性に関する記述が見つからない場合は、優先アプリケーションで問題が解決されるまで、安全な代替アプリケーションに切り替えることを検討してください。 これが選択できない場合は、9 月 12 日以降にリリースされたセキュリティ更新を確認し、新しいセキュリティ パッチがリリースされたらすぐに更新を続行してください。

これは CVE-2023-4863 が解決されることを保証するものではありませんが、現時点では最善のフォールバック オプションです。

WebP: 教訓のある素晴らしいソリューション

Google は、ブラウザやその他のアプリケーションで画像をより高速にレンダリングするためのソリューションとして、2010 年に WebP をリリースしました。 この形式は非可逆圧縮と可逆圧縮の両方に対応しており、知覚される品質を維持しながら画像ファイルのサイズを約 30% 削減できます。

パフォーマンスの面では、WebP はレンダリング時間を短縮するための優れたソリューションです。 しかし、これはパフォーマンスの特定の側面、つまり安全性を優先することについての警告の物語でもあります。 中途半端な開発が広範囲に採用されると、ソースの脆弱性が最悪の状況に陥ります。 また、ゼロデイ攻撃の増加に伴い、Google などの企業は対策を強化する必要があり、そうしないと開発者はテクノロジーをより綿密に精査しなければならなくなるでしょう。