يعمل تحديث Chrome الطارئ على إصلاح ثغرة WebP الحرجة

منذ أكثر من 24 ساعة بقليل، طرحت Google تحديثًا لمتصفح Chrome، يعالج على وجه التحديد الثغرة الأمنية الخطيرة CVE-2023-4863 في تنسيق صورة WebP. تم الإبلاغ عن هذه الثغرة الأمنية من قبل خبراء من Citizen Lab في جامعة تورنتو. ينطبق التحديث على كل من الفروع الثابتة والموسعة، حيث يتوفر الإصداران 116.0.5845.187 لنظامي التشغيل Mac وLinux، والإصدار 116.0.5845.187/.188 لنظام التشغيل Windows. والجدير بالذكر أن مجرمي الإنترنت قد استغلوا بالفعل هذه الثغرة الأمنية.

CVE-2023-4863 هي ثغرة أمنية لتجاوز سعة المخزن المؤقت موجودة في WebP، وهو تنسيق صورة تم تطويره بواسطة Google. ولسوء الحظ، أصبح هذا التنسيق، المستخدم على نطاق واسع لضغط الصور عالية الجودة على الإنترنت، هدفًا للمهاجمين الذين اكتشفوا هذه الثغرة الأمنية واستغلوها في تنسيق مفتوح.

يعتمد الهجوم على تقنية تجاوز سعة المخزن المؤقت، والتي يمكن أن تؤدي إلى تنفيذ تعليمات برمجية ضارة. تمت معالجة مشكلة مماثلة تتعلق بـ WebP مؤخرًا بواسطة مهندسي Apple. تم تسمية الثغرة التي اكتشفها Citizen Lab باسم BLASTPASS. ما يجعل الأمر مثيرًا للقلق بشكل خاص هو أنه لا يتطلب أي تفاعل من المستخدم لتنزيل برنامج التجسس Pegasus بعد مواجهة صورة ضارة.

يتم دعم WebP بواسطة العديد من المتصفحات المستندة إلى Chromium مثل Edge وOpera وVivaldi، بالإضافة إلى العديد من برامج تحرير الصور. وفي محاولة لحماية المستخدمين، اختارت Google عدم الكشف عن التفاصيل الكاملة للثغرة الأمنية حتى يقوم جزء كبير من مستخدمي Chrome بتحديث متصفحاتهم. إذا تقرر أن الثغرة الأمنية تؤثر أيضًا على مكتبة WebP المستخدمة في مشاريع أخرى، فسيتم الاحتفاظ بالمعلومات المتعلقة بها طي الكتمان لفترة معينة.

ستجد كلمة Google الرسمية هنا.