Chromen hätäpäivitys korjaa kriittisen WebP-haavoittuvuuden

Hieman yli 24 tuntia sitten Google julkaisi Chromelle päivityksen, joka koskee erityisesti kriittistä haavoittuvuutta CVE-2023-4863 WebP-kuvamuodossa. Toronton yliopiston Citizen Labin asiantuntijat ovat raportoineet tästä haavoittuvuudesta. Päivitys koskee sekä vakaata että laajennettua haaraa, ja versiot 116.0.5845.187 ovat saatavilla Macille ja Linuxille ja 116.0.5845.187/.188 Windowsille. Erityisesti kyberrikolliset ovat jo käyttäneet tätä haavoittuvuutta hyväkseen.

CVE-2023-4863 on puskurin ylivuotohaavoittuvuus, joka löytyy WebP: stä, Googlen kehittämästä kuvamuodosta. Tämä muoto, jota käytetään laajalti korkealaatuisten kuvien pakkaamiseen Internetissä, joutui valitettavasti hyökkääjien kohteeksi, jotka löysivät tämän haavoittuvuuden ja käyttivät sitä hyväkseen avoimessa muodossa.

Hyökkäys perustuu puskurin ylivuototekniikkaan, joka voi johtaa haitallisen koodin suorittamiseen. Applen insinöörit olivat äskettäin käsitelleet samanlaista WebP: hen liittyvää ongelmaa. Citizen Labin löytämä hyväksikäyttö on saanut nimekseen BLASTPASS. Erityisen huolestuttavaa on, että se ei vaadi käyttäjän toimia, jotta Pegasus-vakoiluohjelma voidaan ladata haitallisen kuvan havaitsemisen jälkeen.

WebP: tä tukevat monet Chromium-pohjaiset selaimet, kuten Edge, Opera ja Vivaldi, sekä erilaiset kuvankäsittelyohjelmat. Google suojellakseen käyttäjiä on päättänyt olla paljastamatta kaikkia haavoittuvuuden tietoja ennen kuin huomattava osa Chromen käyttäjistä on päivittänyt selaimensa. Jos haavoittuvuuden todetaan vaikuttavan myös muissa projekteissa käytettävään WebP-kirjastoon, tietoja siitä pidetään piilossa tietyn ajan.

Löydät Googlen virallisen sanan tässä.