Спешна актуализация на Chrome поправя критична уязвимост на WebP

Преди малко повече от 24 часа Google пусна актуализация за Chrome, специално адресирана към критичната уязвимост CVE-2023-4863 във формата на изображение WebP. Тази уязвимост беше докладвана от експерти от Citizen Lab към Университета на Торонто. Актуализацията се отнася както за стабилния, така и за разширения клонове, с версии 116.0.5845.187, налични за Mac и Linux, и 116.0.5845.187/.188 за Windows. Трябва да се отбележи, че киберпрестъпниците вече са използвали тази уязвимост.

CVE-2023-4863 е уязвимост при препълване на буфера, открита в WebP, формат на изображение, разработен от Google. Този формат, широко използван за висококачествено компресиране на изображения в интернет, за съжаление стана цел на нападатели, които откриха и се възползваха от тази уязвимост в отворен формат.

Атаката се корени в техниката на препълване на буфера, което може да доведе до изпълнение на злонамерен код. Подобен проблем, свързан с WebP, наскоро беше разгледан от инженерите на Apple. Експлойтът, открит от Citizen Lab, е наречен BLASTPASS. Това, което го прави особено тревожно е, че не изисква никакво взаимодействие с потребителя, за да бъде изтеглен шпионският софтуер на Pegasus, след като се натъкне на злонамерено изображение.

WebP се поддържа от много базирани на Chromium браузъри като Edge, Opera и Vivaldi, както и различни програми за редактиране на изображения. Google, в опит да предпази потребителите, избра да не разкрива пълните подробности за уязвимостта, докато значителна част от потребителите на Chrome не актуализират своите браузъри. Ако се установи, че уязвимостта засяга и WebP библиотеката, използвана в други проекти, информацията за нея ще се пази в тайна за определен период.

Ще намерите официалната дума на Google тук.