עדכון חירום של Chrome מתקן פגיעות קריטית של WebP

לפני קצת יותר מ-24 שעות, Google השיקה עדכון עבור Chrome, המתייחס ספציפית לפגיעות הקריטית CVE-2023-4863 בפורמט תמונה של WebP. פגיעות זו דווחה על ידי מומחים ממעבדת Citizen באוניברסיטת טורונטו. העדכון חל הן על הענף היציב והן על הענפים המורחבים, כאשר גרסאות 116.0.5845.187 זמינות עבור Mac ו-Linux, ו-116.0.5845.187/.188 עבור Windows. יש לציין כי פושעי סייבר כבר ניצלו את הפגיעות הזו.

CVE-2023-4863 היא פגיעות של הצפת מאגר שנמצאה ב-WebP, פורמט תמונה שפותח על ידי גוגל. פורמט זה, בשימוש נרחב לדחיסת תמונות באיכות גבוהה באינטרנט, הפך למרבה הצער למטרה של תוקפים שגילו וניצלו את הפגיעות הזו בפורמט פתוח.

ההתקפה נעוצה בטכניקה של הצפת חוצץ, שעלולה להוביל לביצוע קוד זדוני. בעיה דומה הקשורה ל-WebP טופלה לאחרונה על ידי מהנדסי אפל. הניצול שהתגלה על ידי Citizen Lab קיבל את השם BLASTPASS. מה שמדאיג אותו במיוחד הוא שזה לא מצריך שום אינטראקציה של משתמש כדי להוריד תוכנת ריגול של Pegasus לאחר שנתקלה בתמונה זדונית.

WebP נתמך על ידי דפדפנים רבים מבוססי Chromium כמו Edge, Opera ו-Vivaldi, כמו גם תוכניות שונות לעריכת תמונות. גוגל, במאמץ להגן על המשתמשים, בחרה שלא לחשוף את הפרטים המלאים של הפגיעות עד שחלק ניכר ממשתמשי Chrome עדכנו את הדפדפנים שלהם. אם ייקבע שהפגיעות משפיעה גם על ספריית ה-WebP המשמשת בפרויקטים אחרים, המידע עליה יישמר בסוד לתקופה מסוימת.

תמצא את המילה הרשמית של גוגל כאן.