Nouzová aktualizace Chromu opravuje kritickou zranitelnost WebP

Před více než 24 hodinami společnost Google spustila aktualizaci pro Chrome, konkrétně řešící kritickou zranitelnost CVE-2023-4863 ve formátu obrázku WebP. Tato zranitelnost byla hlášena odborníky z Citizen Lab na University of Toronto. Aktualizace se týká stabilní i rozšířené větve, přičemž verze 116.0.5845.187 jsou k dispozici pro Mac a Linux a 116.0.5845.187/.188 pro Windows. Je pozoruhodné, že kybernetičtí zločinci již tuto zranitelnost využili.

CVE-2023-4863 je zranitelnost přetečení vyrovnávací paměti nalezená ve WebP, obrázkovém formátu vyvinutém společností Google. Tento formát, hojně využívaný pro kvalitní kompresi obrázků na internetu, se bohužel stal cílem útočníků, kteří tuto zranitelnost objevili a využili v otevřeném formátu.

Útok má kořeny v technice přetečení vyrovnávací paměti, která může vést ke spuštění škodlivého kódu. Podobný problém související s WebP nedávno řešili inženýři Applu. Exploit objevený Citizen Lab byl pojmenován BLASTPASS. Zvláště znepokojivé je, že ke stažení spywaru Pegasus po setkání se škodlivým obrazem nevyžaduje žádnou interakci uživatele.

WebP je podporován mnoha prohlížeči založenými na Chromiu, jako je Edge, Opera a Vivaldi, a také různými programy pro úpravu obrázků. Google se ve snaze ochránit uživatele rozhodl nezveřejňovat úplné podrobnosti o zranitelnosti, dokud podstatná část uživatelů Chrome neaktualizuje svůj prohlížeč. Pokud se zjistí, že zranitelnost ovlivňuje také knihovnu WebP používanou v jiných projektech, informace o ní budou po určitou dobu uchovávány pod pokličkou.

Najdete oficiální slovo Google tady.