Chrome の緊急アップデートで WebP の重大な脆弱性が修正

24 時間ほど前、Google は Chrome のアップデートを公開し、特に WebP 画像形式の重大な脆弱性 CVE-2023-4863 に対処しました。 この脆弱性は、トロント大学の Citizen Lab の専門家によって報告されていました。 このアップデートは安定ブランチと拡張ブランチの両方に適用され、Mac と Linux ではバージョン 116.0.5845.187、Windows では 116.0.5845.187/.188 が利用可能です。 特に、サイバー犯罪者はすでにこの脆弱性を悪用しています。

CVE-2023-4863 は、Google が開発した画像形式である WebP で見つかったバッファ オーバーフローの脆弱性です。 この形式は、インターネット上で高品質の画像圧縮に広く使用されていますが、残念なことに、オープン形式でこの脆弱性を発見し、悪用した攻撃者の標的となりました。

この攻撃はバッファ オーバーフローの手法に基づいており、悪意のあるコードの実行につながる可能性があります。 WebP に関連する同様の問題が最近 Apple エンジニアによって解決されました。 Citizen Lab によって発見されたエクスプロイトは BLASTPASS と名付けられました。 特に懸念されるのは、悪意のあるイメージに遭遇した後に Pegasus スパイウェアをダウンロードするためにユーザーの操作が必要ないことです。

WebP は、Edge、Opera、Vivaldi などの多くの Chromium ベースのブラウザーや、さまざまな画像編集プログラムでサポートされています。 Google は、ユーザーを保護するため、Chrome ユーザーのかなりの部分がブラウザを更新するまで、脆弱性の全詳細を公開しないことにしました。 この脆弱性が他のプロジェクトで使用されている WebP ライブラリにも影響を与えると判断された場合、その情報は一定期間秘密にされます。

Google の公式用語が見つかります ここ.