Chrome-nødopdatering løser kritisk WebP-sårbarhed

For lidt over 24 timer siden udrullede Google en opdatering til Chrome, der specifikt adresserede den kritiske sårbarhed CVE-2023-4863 i WebP-billedformatet. Denne sårbarhed var blevet rapporteret af eksperter fra Citizen Lab ved University of Toronto. Opdateringen gælder både for de stabile og udvidede filialer, med version 116.0.5845.187 tilgængelig til Mac og Linux, og 116.0.5845.187/.188 til Windows. Især har cyberkriminelle allerede udnyttet denne sårbarhed.

CVE-2023-4863 er en bufferoverløbssårbarhed fundet i WebP, et billedformat udviklet af Google. Dette format, der er meget brugt til billedkomprimering af høj kvalitet på internettet, blev desværre målet for angribere, der opdagede og udnyttede denne sårbarhed i et åbent format.

Angrebet er forankret i teknikken med bufferoverløb, som kan føre til eksekvering af ondsindet kode. Et lignende problem relateret til WebP var for nylig blevet behandlet af Apple-ingeniører. Benyttelsen opdaget af Citizen Lab har fået navnet BLASTPASS. Det, der gør det særligt bekymrende, er, at det ikke kræver nogen brugerinteraktion for at Pegasus spyware kan downloades efter at have stødt på et ondsindet billede.

WebP understøttes af mange Chromium-baserede browsere som Edge, Opera og Vivaldi, samt forskellige billedredigeringsprogrammer. Google har i et forsøg på at beskytte brugerne valgt ikke at afsløre de fulde detaljer om sårbarheden, før en betydelig del af Chrome-brugere har opdateret deres browsere. Hvis det fastslås, at sårbarheden også påvirker WebP-biblioteket, der bruges i andre projekter, vil oplysninger om det blive holdt skjult i en vis periode.

Du finder Googles officielle ord her.