La actualización de emergencia de Chrome corrige una vulnerabilidad crítica de WebP

Hace poco más de 24 horas, Google lanzó una actualización para Chrome, abordando específicamente la vulnerabilidad crítica CVE-2023-4863 en el formato de imagen WebP. Esta vulnerabilidad había sido informada por expertos del Citizen Lab de la Universidad de Toronto. La actualización se aplica tanto a la rama estable como a la extendida, con las versiones 116.0.5845.187 disponibles para Mac y Linux, y 116.0.5845.187/.188 para Windows. En particular, los ciberdelincuentes ya han aprovechado esta vulnerabilidad.

CVE-2023-4863 es una vulnerabilidad de desbordamiento de búfer que se encuentra en WebP, un formato de imagen desarrollado por Google. Este formato, muy utilizado para la compresión de imágenes de alta calidad en Internet, lamentablemente se convirtió en el objetivo de atacantes que descubrieron y aprovecharon esta vulnerabilidad en un formato abierto.

El ataque se basa en la técnica de desbordamiento del búfer, que puede provocar la ejecución de código malicioso. Los ingenieros de Apple abordaron recientemente un problema similar relacionado con WebP. El exploit descubierto por Citizen Lab se llama BLASTPASS. Lo que lo hace particularmente preocupante es que no requiere ninguna interacción del usuario para que el software espía Pegasus se descargue después de encontrar una imagen maliciosa.

WebP es compatible con muchos navegadores basados ​​en Chromium como Edge, Opera y Vivaldi, así como con varios programas de edición de imágenes. Google, en un esfuerzo por proteger a los usuarios, ha optado por no revelar todos los detalles de la vulnerabilidad hasta que una parte sustancial de los usuarios de Chrome hayan actualizado sus navegadores. Si se determina que la vulnerabilidad también afecta a la biblioteca WebP utilizada en otros proyectos, la información al respecto se mantendrá en secreto durante un período determinado.

Encontrarás la palabra oficial de Google. aquí.