Hitno ažuriranje Chromea ispravlja kritičnu ranjivost WebP-a

Prije nešto više od 24 sata, Google je izbacio ažuriranje za Chrome, posebno rješavajući kritičnu ranjivost CVE-2023-4863 u formatu slike WebP. Ovu su ranjivost prijavili stručnjaci iz Citizen Laba na Sveučilištu u Torontu. Ažuriranje se odnosi i na stabilnu i na proširenu granu, s verzijama 116.0.5845.187 dostupnim za Mac i Linux i 116.0.5845.187/.188 za Windows. Naime, kibernetički kriminalci već su iskoristili ovu ranjivost.

CVE-2023-4863 je ranjivost prekoračenja međuspremnika pronađena u WebP-u, formatu slike koji je razvio Google. Ovaj format, naširoko korišten za visokokvalitetnu kompresiju slike na internetu, nažalost je postao meta napadača koji su otkrili i iskoristili ovu ranjivost u otvorenom formatu.

Napad je ukorijenjen u tehnici prelijevanja međuspremnika, što može dovesti do izvršenja zlonamjernog koda. Appleovi inženjeri nedavno su riješili sličan problem vezan uz WebP. Eksploatacija koju je otkrio Citizen Lab nazvana je BLASTPASS. Ono što ga čini posebno zabrinjavajućim jest to što ne zahtijeva nikakvu interakciju korisnika da bi se špijunski softver Pegasus preuzeo nakon što naiđe na zlonamjernu sliku.

WebP podržavaju mnogi preglednici temeljeni na Chromiumu kao što su Edge, Opera i Vivaldi, kao i razni programi za uređivanje slika. Google je, u nastojanju da zaštiti korisnike, odlučio ne otkriti sve pojedinosti o ranjivosti sve dok znatan dio korisnika Chromea ne ažurira svoje preglednike. Ako se utvrdi da ranjivost također utječe na WebP biblioteku koja se koristi u drugim projektima, informacije o njoj će se neko vrijeme čuvati u tajnosti.

Pronaći ćete Googleovu službenu riječ ovdje.