Chrome'i hädavärskendus parandab kriitilise WebP haavatavuse

Veidi üle 24 tunni tagasi tõi Google välja Chrome'i värskenduse, mis käsitleb konkreetselt kriitilist haavatavust CVE-2023-4863 WebP pildivormingus. Sellest haavatavusest teatasid Toronto ülikooli Citizen Labi eksperdid. Värskendus kehtib nii stabiilsele kui ka laiendatud harule, mille versioonid 116.0.5845.187 on saadaval Maci ja Linuxi jaoks ning 116.0.5845.187/.188 Windowsi jaoks. Eelkõige on küberkurjategijad seda haavatavust juba ära kasutanud.

CVE-2023-4863 on puhvri ületäitumise haavatavus, mis leiti Google'i välja töötatud pildivormingus WebP. See Internetis kvaliteetse pildi tihendamiseks laialdaselt kasutatav vorming sai kahjuks ründajate sihtmärgiks, kes avastasid ja kasutasid seda haavatavust avatud vormingus.

Rünnak on juurdunud puhvri ületäitumise tehnikas, mis võib viia pahatahtliku koodi käivitamiseni. Apple'i insenerid olid hiljuti käsitlenud sarnast WebP-ga seotud probleemi. Citizen Labi avastatud ärakasutamine on saanud nimeks BLASTPASS. Eriti murettekitavaks teeb selle see, et Pegasuse nuhkvara allalaadimine pärast pahatahtliku pildiga kokkupuudet ei nõua kasutaja sekkumist.

WebP-d toetavad paljud Chromiumil põhinevad brauserid, nagu Edge, Opera ja Vivaldi, samuti mitmesugused pilditöötlusprogrammid. Google on kasutajate kaitsmiseks otsustanud mitte avaldada haavatavuse kõiki üksikasju enne, kui suur osa Chrome'i kasutajatest on oma brausereid värskendanud. Kui tehakse kindlaks, et haavatavus mõjutab ka teistes projektides kasutatavat WebP teeki, hoitakse selle kohta käivat teavet teatud aja jooksul vaka all.

Leiate Google'i ametliku sõna siin.