Home-theater-designers
WebP Codec میں ایک اہم خطرے کا پتہ چلا ہے، جو بڑے براؤزرز کو سیکیورٹی اپ ڈیٹس کو تیزی سے ٹریک کرنے پر مجبور کرتا ہے۔ تاہم، اسی WebP رینڈرنگ کوڈ کے وسیع پیمانے پر استعمال کا مطلب ہے کہ لاتعداد ایپس بھی متاثر ہوتی ہیں، جب تک کہ وہ سیکیورٹی پیچ جاری نہ کر دیں۔
دن کی MUO ویڈیو مواد کے ساتھ جاری رکھنے کے لیے اسکرول کریں۔
تو CVE-2023-4863 کمزوری کیا ہے؟ یہ کتنا برا ہے؟ اور آپ کیا کر سکتے ہیں؟
WebP CVE-2023-4863 کمزوری کیا ہے؟
WebP Codec میں شمارے کو CVE-2023-4863 کا نام دیا گیا ہے۔ روٹ WebP رینڈرنگ کوڈ ('BuildHuffmanTable') کے ایک مخصوص فنکشن کے اندر ہے، جس سے کوڈیک کو خطرہ ہوتا ہے ہیپ بفر اوور فلو .
ایک ہیپ بفر اوورلوڈ اس وقت ہوتا ہے جب کوئی پروگرام میموری بفر میں اس سے زیادہ ڈیٹا لکھتا ہے جو اسے رکھنے کے لیے ڈیزائن کیا گیا ہے۔ جب ایسا ہوتا ہے، تو یہ ممکنہ طور پر ملحقہ میموری اور کرپٹ ڈیٹا کو اوور رائٹ کر سکتا ہے۔ بدتر اب بھی، ہیکرز سسٹم پر قبضہ کرنے کے لیے ہیپ بفر اوور فلو کا فائدہ اٹھا سکتے ہیں۔ اور آلات دور سے۔
ہیکرز ان ایپس کو نشانہ بنا سکتے ہیں جن کے لیے بفر اوور فلو خطرات ہیں اور انہیں نقصان دہ ڈیٹا بھیج سکتے ہیں۔ مثال کے طور پر، وہ ایک بدنیتی پر مبنی WebP تصویر اپ لوڈ کر سکتے ہیں جو صارف کے آلے پر کوڈ کو تعینات کرتا ہے جب وہ اسے اپنے براؤزر یا کسی اور ایپ میں دیکھتے ہیں۔
ویب پی کوڈیک کی طرح وسیع پیمانے پر استعمال ہونے والے کوڈ میں موجود اس قسم کی کمزوری ایک سنگین مسئلہ ہے۔ بڑے براؤزرز کے علاوہ، لاتعداد ایپس WebP تصاویر کو رینڈر کرنے کے لیے ایک ہی کوڈیک کا استعمال کرتی ہیں۔ اس مرحلے پر، CVE-2023-4863 کمزوری ہمارے لیے یہ جاننے کے لیے بہت وسیع ہے کہ یہ واقعی کتنی بڑی ہے اور صفائی بہت گڑبڑ ہونے والی ہے۔
ٹوئچ پر مزید آراء کیسے حاصل کی جائیں۔
کیا میرا پسندیدہ براؤزر استعمال کرنا محفوظ ہے؟
جی ہاں، زیادہ تر بڑے براؤزرز نے اس مسئلے کو حل کرنے کے لیے پہلے ہی اپ ڈیٹ جاری کر دیے ہیں۔ لہذا، جب تک آپ اپنی ایپس کو تازہ ترین ورژن میں اپ ڈیٹ کرتے ہیں، آپ ہمیشہ کی طرح ویب کو براؤز کر سکتے ہیں۔ گوگل، موزیلا، مائیکروسافٹ، بہادر، اور ٹور سبھی نے سیکیورٹی پیچ جاری کیے ہیں اور دوسروں نے شاید اس وقت تک ایسا کیا ہوگا جب آپ اسے پڑھ رہے ہوں گے۔
اس مخصوص خطرے کے لیے اصلاحات پر مشتمل اپ ڈیٹس یہ ہیں:
- کروم: ورژن 116.0.5846.187 (Mac/Linux)؛ ورژن 116.0.5845.187/.188 (ونڈوز)
- فائر فاکس: فائر فاکس 117.0.1؛ فائر فاکس ESR 115.2.1؛ تھنڈر برڈ 115.2.2
- کنارے: ایج ورژن 116.0.1938.81
- بہادر: بہادر ورژن 1.57.64
- ٹور: ٹور براؤزر 12.5.4
اگر آپ ایک مختلف براؤزر استعمال کر رہے ہیں، تو تازہ ترین اپ ڈیٹس کی جانچ کریں اور WebP میں CVE-2023-4863 ہیپ بفر اوور فلو خطرے کے مخصوص حوالہ جات تلاش کریں۔ مثال کے طور پر، Chrome کے اپ ڈیٹ کے اعلان میں درج ذیل حوالہ شامل ہے: 'CVE-2023-4863: WebP میں ہیپ بفر اوور فلو'۔
ونڈوز 10 کے لیے کمانڈ پرامپٹس کی فہرست
اگر آپ کو اپنے پسندیدہ براؤزر کے تازہ ترین ورژن میں اس خطرے کا کوئی حوالہ نہیں ملتا ہے، تو اوپر دیے گئے ایک پر سوئچ کریں جب تک کہ آپ کی پسند کے براؤزر کے لیے کوئی فکس جاری نہ ہوجائے۔
کیا میں اپنی پسندیدہ ایپس استعمال کرنے کے لیے محفوظ ہوں؟
یہ وہ جگہ ہے جہاں یہ مشکل ہو جاتا ہے۔ بدقسمتی سے، CVE-2023-4863 WebP کمزوری ایپس کی نامعلوم تعداد کو بھی متاثر کرتی ہے۔ سب سے پہلے، کسی بھی سافٹ ویئر کا استعمال کرتے ہوئے libwebp لائبریری اس خطرے سے متاثر ہوتا ہے، جس کا مطلب ہے کہ ہر فراہم کنندہ کو اپنے حفاظتی پیچ جاری کرنے کی ضرورت ہوگی۔
معاملات کو مزید پیچیدہ بنانے کے لیے، اس کمزوری کو ایپس بنانے کے لیے استعمال ہونے والے بہت سے مشہور فریم ورکس میں پکایا جاتا ہے۔ ان صورتوں میں، فریم ورک کو پہلے اپ ڈیٹ کرنے کی ضرورت ہوتی ہے اور پھر، ان کا استعمال کرنے والے سافٹ ویئر فراہم کرنے والوں کو اپنے صارفین کی حفاظت کے لیے تازہ ترین ورژن میں اپ ڈیٹ کرنے کی ضرورت ہوتی ہے۔ اس سے اوسط صارف کے لیے یہ جاننا بہت مشکل ہو جاتا ہے کہ کون سی ایپس متاثر ہیں اور کن ایپس نے اس مسئلے کو حل کیا ہے۔
جیسا کہ دریافت کیا گیا ہے۔ اسٹیک ڈائری پر الیکس ایوانوف ، متاثرہ ایپس میں Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice، اور Affinity suite شامل ہیں۔
1 پاس ورڈ نے ایک اپ ڈیٹ جاری کیا ہے۔ اس مسئلے کو حل کرنے کے لیے، حالانکہ اس کے اعلان کے صفحے میں CVE-2023-4863 خطرے کی شناخت کے لیے ٹائپنگ کی غلطی شامل ہے (اس کا اختتام -63 کے بجائے -36 سے ہوتا ہے)۔ ایپل نے بھی macOS کے لیے سیکیورٹی پیچ جاری کیا۔ ایسا لگتا ہے کہ ایک ہی مسئلہ کو حل کرتا ہے، لیکن یہ خاص طور پر اس کا حوالہ نہیں دیتا ہے۔ اسی طرح، سلیک نے سیکیورٹی اپ ڈیٹ جاری کیا۔ 12 ستمبر کو (ورژن 4.34.119) لیکن CVE-2023-4863 کا حوالہ نہیں دیتا۔
ٹویٹر پر انرول کا کیا مطلب ہے؟
ہر چیز کو اپ ڈیٹ کریں اور احتیاط سے آگے بڑھیں۔
ایک صارف کے طور پر، آپ CVE-2023-4863 WebP Codex خطرے کے بارے میں صرف ایک چیز کر سکتے ہیں وہ ہے ہر چیز کو اپ ڈیٹ کرنا۔ اپنے استعمال کردہ ہر براؤزر کے ساتھ شروع کریں، اور پھر اپنی اہم ترین ایپس کے ذریعے کام کریں۔
ہر ایپ کے لیے تازہ ترین ریلیز ورژن چیک کریں جو آپ کر سکتے ہیں اور CVE-2023-4863 ID کے مخصوص حوالہ جات تلاش کریں۔ اگر آپ کو تازہ ترین ریلیز نوٹس میں اس خطرے کا حوالہ نہیں ملتا ہے، تو ایک محفوظ متبادل پر سوئچ کرنے پر غور کریں جب تک کہ آپ کی ترجیحی ایپ اس مسئلے کو حل نہ کرے۔ اگر یہ آپشن نہیں ہے تو، 12 ستمبر کے بعد جاری ہونے والی سیکیورٹی اپ ڈیٹس کو چیک کریں اور جیسے ہی نئے سیکیورٹی پیچ جاری ہوتے ہیں اپ ڈیٹ کرتے رہیں۔
یہ اس بات کی ضمانت نہیں دے گا کہ CVE-2023-4863 پر توجہ دی جا رہی ہے لیکن یہ آپ کو اس مقام پر حاصل ہونے والا بہترین فال بیک آپشن ہے۔
WebP: احتیاطی کہانی کے ساتھ ایک عمدہ حل
گوگل نے 2010 میں ویب پی کو براؤزرز اور دیگر ایپلی کیشنز میں تیزی سے تصاویر پیش کرنے کے حل کے طور پر شروع کیا۔ فارمیٹ نقصان دہ اور بے نقصان کمپریشن فراہم کرتا ہے جو قابل تصور معیار کو برقرار رکھتے ہوئے تصویری فائلوں کے سائز کو ~ 30 فیصد تک کم کر سکتا ہے۔
کارکردگی کے لحاظ سے، رینڈرنگ کے اوقات کو کم کرنے کے لیے WebP ایک عمدہ حل ہے۔ تاہم، یہ کارکردگی کے ایک مخصوص پہلو کو دوسروں پر ترجیح دینے کی ایک احتیاطی کہانی بھی ہے، یعنی سیکیورٹی۔ جب آدھی پکی ہوئی ترقی بڑے پیمانے پر اپنانے کو پورا کرتی ہے، تو یہ ماخذ کی کمزوریوں کے لیے ایک بہترین طوفان پیدا کرتی ہے۔ اور، صفر دن کے کارناموں میں اضافے کے ساتھ، گوگل جیسی کمپنیوں کو اپنے گیم کو بڑھانے کی ضرورت ہے یا ڈویلپرز کو ٹیکنالوجیز کی مزید جانچ پڑتال کرنی ہوگی۔