L'aggiornamento di emergenza di Chrome risolve la vulnerabilità critica di WebP

Poco più di 24 ore fa, Google ha lanciato un aggiornamento per Chrome, risolvendo in particolare la vulnerabilità critica CVE-2023-4863 nel formato immagine WebP. Questa vulnerabilità è stata segnalata dagli esperti del Citizen Lab dell'Università di Toronto. L'aggiornamento si applica sia al ramo stabile che a quello esteso, con le versioni 116.0.5845.187 disponibili per Mac e Linux e 116.0.5845.187/.188 per Windows. In particolare, i criminali informatici hanno già sfruttato questa vulnerabilità.

CVE-2023-4863 è una vulnerabilità di buffer overflow riscontrata in WebP, un formato immagine sviluppato da Google. Questo formato, ampiamente utilizzato per la compressione di immagini di alta qualità su Internet, purtroppo è diventato il bersaglio degli aggressori che hanno scoperto e sfruttato questa vulnerabilità in un formato aperto.

L'attacco affonda le sue radici nella tecnica del buffer overflow, che può portare all'esecuzione di codice dannoso. Un problema simile relativo a WebP è stato recentemente affrontato dagli ingegneri Apple. L'exploit scoperto da Citizen Lab è stato chiamato BLASTPASS. Ciò che lo rende particolarmente preoccupante è che non richiede alcuna interazione da parte dell'utente per scaricare lo spyware Pegasus dopo aver riscontrato un'immagine dannosa.

WebP è supportato da molti browser basati su Chromium come Edge, Opera e Vivaldi, nonché da vari programmi di modifica delle immagini. Google, nel tentativo di salvaguardare gli utenti, ha scelto di non rivelare tutti i dettagli della vulnerabilità finché una parte sostanziale degli utenti di Chrome non avrà aggiornato il proprio browser. Se viene accertato che la vulnerabilità colpisce anche la libreria WebP utilizzata in altri progetti, le informazioni al riguardo verranno tenute nascoste per un certo periodo.

Troverai la parola ufficiale di Google Qui.