WebKitGTK 和 WPE WebKit 中发现的严重安全漏洞

WebKitGTK 和 WPE WebKit 中发现的严重安全漏洞

WebKitGTK 和 WPE WebKit 项目披露了多个严重安全漏洞,这些漏洞影响 GTK+ 和 GNOME 应用程序以及 Linux 和嵌入式操作系统上的其他产品中使用的开源 Web 浏览器引擎。 

这些漏洞可能使远程攻击者能够通过说服用户访问恶意网站来在易受攻击的系统上执行任意代码。

WebKit 是 Safari、Mail、App Store 以及 macOS、iOS 和 Linux 上的许多其他应用程序使用的 Web 浏览器引擎。

WebKitGTK 是 Linux 上的各种应用程序用来呈现 Web 内容的浏览器引擎之一。它利用 WebKit 开源网络浏览器引擎与 GTK+ API 相结合,集成到 GTK+ 和 GNOME 程序中。WebKitGTK 用于多种流行的应用程序,包括 GNOME Web(以前称为 Epiphany)、Steam 和 GNU IceCat(Firefox 的 GNU 版本)。

WPE WebKit 专注于嵌入式设备,由 Raspberry Pi 主导,其他合作伙伴也做出了贡献。这两个项目都基于最初由 Apple 为 Safari 开发的 WebKit 开源浏览器引擎。虽然 Apple 维护核心 WebKit 代码库,但 WebKitGTK 和 WPE WebKit 对其进行了调整,以便集成到 Linux 和嵌入式环境中。

这些问题已于 2023 年 9 月 28 日在 WebKitGTK 和 WPE WebKit 安全通报 WSA-2023-0009中报告。该通报详细介绍了通过以下常见漏洞和暴露 (CVE) 标识符跟踪的六个漏洞:

  • CVE-2023-39928 – MediaRecorder API 中的释放后使用漏洞可能导致内存损坏。特制网页可能会利用此漏洞导致内存损坏和潜在的任意代码执行。用户需要访问恶意网页才能触发此漏洞。WebKit Bugzilla:260649。
  • CVE-2023-35074 –可能导致代码执行的内存处理问题。
  • CVE-2023-39434 –释放后使用漏洞,可能导致代码执行。
  • CVE-2023-40451 –不正确的 iframe 沙箱执行导致潜在的代码执行。
  • CVE-2023-41074 –缺乏输入验证检查,暴露代码执行漏洞。
  • CVE-2023-41993 –该漏洞允许在处理 Web 内容时执行代码,并已报告为在野外利用的情况。

这些漏洞影响 2.42.1 之前的 WebKitGTK 和 WPE WebKit 版本。如果成功利用该漏洞,攻击者可以使用易受攻击的 WebKitGTK 或 WPE WebKit 引擎以应用程序的权限执行任意代码。这可能使攻击者能够完全破坏受影响的系统。

根据该通报,苹果公司承认CVE-2023-41993已被积极利用,强调了应用更新的紧迫性。 

WebKitGTK 和 WPE WebKit 的所有用户应立即更新到版本 2.42.1 或更高版本,以缓解这些漏洞。

这些漏洞由 Cisco Talos、Abysslab、PK Security 和通报中提及的个人等安全研究人员负责任地报告。WebKitGTK 和 WPE WebKit 项目感谢研究人员发现和披露这些问题。

此消息凸显了修补安全漏洞的重要性,尤其是在网络浏览器引擎等无处不在的软件组件中。使用 WebKitGTK 或 WPE WebKit 的组织应确保紧急部署更新以保护其系统和用户。主动的漏洞和补丁管理对于安全至关重要。

给TA打赏
共{{data.count}}人
人已打赏
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索