A Chrome sürgősségi frissítése kijavítja a WebP kritikus sebezhetőségét

Valamivel több mint 24 órája a Google kiadott egy frissítést a Chrome-hoz, amely kifejezetten a CVE-2023-4863 kritikus biztonsági rést kezeli a WebP képformátumban. Erről a sebezhetőségről a Torontói Egyetem Citizen Lab szakértői számoltak be. A frissítés mind a stabil, mind a kiterjesztett ágra vonatkozik, a 116.0.5845.187-es verzió Mac és Linux rendszeren, míg a 116.0.5845.187/.188-as verzió Windows rendszeren érhető el. Figyelemre méltó, hogy a kiberbűnözők már kihasználták ezt a sebezhetőséget.

A CVE-2023-4863 egy puffertúlcsordulási biztonsági rés, amely a WebP-ben, a Google által kifejlesztett képformátumban található. Ez a formátum, amelyet széles körben használnak az interneten kiváló minőségű képtömörítésre, sajnos célpontjai lettek azoknak a támadóknak, akik nyílt formátumban fedezték fel és használták ki ezt a biztonsági rést.

A támadás a puffer túlcsordulás technikájában gyökerezik, ami rosszindulatú kód futtatásához vezethet. A WebP-vel kapcsolatos hasonló problémával nemrégiben foglalkoztak az Apple mérnökei. A Citizen Lab által felfedezett kihasználás a BLASTPASS nevet kapta. Ami különösen aggasztóvá teszi, az az, hogy nem igényel felhasználói beavatkozást a Pegasus kémprogramok letöltéséhez, miután rosszindulatú képpel találkoztak.

A WebP-t számos Chromium-alapú böngésző, például Edge, Opera és Vivaldi, valamint különféle képszerkesztő programok támogatják. A Google a felhasználók védelme érdekében úgy döntött, hogy nem hozza nyilvánosságra a sebezhetőség teljes részletét, amíg a Chrome-felhasználók jelentős része nem frissíti böngészőjét. Ha megállapítást nyer, hogy a biztonsági rés a más projektekben használt WebP-könyvtárat is érinti, az ezzel kapcsolatos információkat egy bizonyos ideig titokban tartják.

Megtalálja a Google hivatalos szavát itt.