Pembaruan Chrome darurat memperbaiki kerentanan WebP yang kritis

Lebih dari 24 jam yang lalu, Google meluncurkan pembaruan untuk Chrome, yang secara khusus mengatasi kerentanan kritis CVE-2023-4863 dalam format gambar WebP. Kerentanan ini telah dilaporkan oleh para ahli dari Citizen Lab di Universitas Toronto. Pembaruan berlaku untuk cabang stabil dan diperluas, dengan versi 116.0.5845.187 tersedia untuk Mac dan Linux, dan 116.0.5845.187/.188 untuk Windows. Khususnya, penjahat dunia maya telah mengeksploitasi kerentanan ini.

CVE-2023-4863 adalah kerentanan buffer overflow yang ditemukan di WebP, format gambar yang dikembangkan oleh Google. Format ini, yang banyak digunakan untuk kompresi gambar berkualitas tinggi di internet, sayangnya menjadi sasaran para penyerang yang menemukan dan memanfaatkan kerentanan ini dalam format terbuka.

Serangan ini berakar pada teknik buffer overflow, yang dapat mengakibatkan eksekusi kode berbahaya. Masalah serupa terkait WebP baru-baru ini telah diatasi oleh para insinyur Apple. Eksploitasi yang ditemukan oleh Citizen Lab diberi nama BLASTPASS. Yang membuatnya sangat memprihatinkan adalah tidak memerlukan interaksi pengguna apa pun untuk mengunduh spyware Pegasus setelah menemukan gambar berbahaya.

WebP didukung oleh banyak browser berbasis Chromium seperti Edge, Opera, dan Vivaldi, serta berbagai program pengeditan gambar. Google, dalam upaya melindungi pengguna, memilih untuk tidak mengungkapkan rincian lengkap kerentanan hingga sebagian besar pengguna Chrome memperbarui browser mereka. Jika ditentukan bahwa kerentanan juga mempengaruhi perpustakaan WebP yang digunakan dalam proyek lain, informasi tentang kerentanan tersebut akan dirahasiakan selama jangka waktu tertentu.

Anda akan menemukan kata resmi Google Di Sini.