Η επείγουσα ενημέρωση του Chrome διορθώνει κρίσιμη ευπάθεια WebP

Πριν από λίγο περισσότερο από 24 ώρες, η Google κυκλοφόρησε μια ενημέρωση για το Chrome, που αντιμετωπίζει συγκεκριμένα την κρίσιμη ευπάθεια CVE-2023-4863 σε μορφή εικόνας WebP. Αυτή η ευπάθεια είχε αναφερθεί από ειδικούς από το Citizen Lab στο Πανεπιστήμιο του Τορόντο. Η ενημέρωση ισχύει τόσο για το σταθερό όσο και για το εκτεταμένο κλάδο, με τις εκδόσεις 116.0.5845.187 διαθέσιμες για Mac και Linux και 116.0.5845.187/.188 για Windows. Συγκεκριμένα, οι κυβερνοεγκληματίες έχουν ήδη εκμεταλλευτεί αυτήν την ευπάθεια.

Το CVE-2023-4863 είναι μια ευπάθεια υπερχείλισης buffer που βρίσκεται στο WebP, μια μορφή εικόνας που αναπτύχθηκε από την Google. Αυτή η μορφή, που χρησιμοποιείται ευρέως για συμπίεση εικόνας υψηλής ποιότητας στο διαδίκτυο, δυστυχώς έγινε στόχος εισβολέων που ανακάλυψαν και εκμεταλλεύτηκαν αυτήν την ευπάθεια σε ανοιχτή μορφή.

Η επίθεση έχει τις ρίζες της στην τεχνική της υπερχείλισης buffer, η οποία μπορεί να οδηγήσει στην εκτέλεση κακόβουλου κώδικα. Ένα παρόμοιο ζήτημα που σχετίζεται με το WebP είχε πρόσφατα αντιμετωπιστεί από μηχανικούς της Apple. Το κατόρθωμα που ανακαλύφθηκε από το Citizen Lab ονομάστηκε BLASTPASS. Αυτό που το κάνει ιδιαίτερα ανησυχητικό είναι ότι δεν απαιτεί καμία αλληλεπίδραση με τον χρήστη για τη λήψη του spyware Pegasus μετά την αντιμετώπιση μιας κακόβουλης εικόνας.

Το WebP υποστηρίζεται από πολλά προγράμματα περιήγησης που βασίζονται στο Chromium, όπως το Edge, το Opera και το Vivaldi, καθώς και από διάφορα προγράμματα επεξεργασίας εικόνων. Η Google, σε μια προσπάθεια να προστατεύσει τους χρήστες, επέλεξε να μην αποκαλύψει τις πλήρεις λεπτομέρειες της ευπάθειας έως ότου ένα σημαντικό μέρος των χρηστών του Chrome ενημερώσει τα προγράμματα περιήγησής τους. Εάν διαπιστωθεί ότι η ευπάθεια επηρεάζει επίσης τη βιβλιοθήκη WebP που χρησιμοποιείται σε άλλα έργα, οι πληροφορίες σχετικά με αυτό θα διατηρηθούν κρυφές για μια ορισμένη περίοδο.

Θα βρείτε την επίσημη λέξη της Google εδώ.