Chrome の緊急アップデートで WebP の重大な脆弱性が修正
24 時間ほど前、Google は Chrome のアップデートを公開し、特に WebP 画像形式の重大な脆弱性 CVE-2023-4863 に対処しました。 この脆弱性は、トロント大学の Citizen Lab の専門家によって報告されていました。 このアップデートは安定ブランチと拡張ブランチの両方に適用され、Mac と Linux ではバージョン 116.0.5845.187、Windows では 116.0.5845.187/.188 が利用可能です。 特に、サイバー犯罪者はすでにこの脆弱性を悪用しています。
CVE-2023-4863 は、Google が開発した画像形式である WebP で見つかったバッファ オーバーフローの脆弱性です。 この形式は、インターネット上で高品質の画像圧縮に広く使用されていますが、残念なことに、オープン形式でこの脆弱性を発見し、悪用した攻撃者の標的となりました。
この攻撃はバッファ オーバーフローの手法に基づいており、悪意のあるコードの実行につながる可能性があります。 WebP に関連する同様の問題が最近 Apple エンジニアによって解決されました。 Citizen Lab によって発見されたエクスプロイトは BLASTPASS と名付けられました。 特に懸念されるのは、悪意のあるイメージに遭遇した後に Pegasus スパイウェアをダウンロードするためにユーザーの操作が必要ないことです。
WebP は、Edge、Opera、Vivaldi などの多くの Chromium ベースのブラウザーや、さまざまな画像編集プログラムでサポートされています。 Google は、ユーザーを保護するため、Chrome ユーザーのかなりの部分がブラウザを更新するまで、脆弱性の全詳細を公開しないことにしました。 この脆弱性が他のプロジェクトで使用されている WebP ライブラリにも影響を与えると判断された場合、その情報は一定期間秘密にされます。
Google の公式用語が見つかります ここ.
この記事が気に入ったら、下のボタンを使用して共有してください。 あなたから多くのことを得るわけではありませんが、それは私たちの成長に役立ちます。 ご協力ありがとうございました!