Chrome-ის გადაუდებელი განახლება ასწორებს WebP-ის მნიშვნელოვან დაუცველობას

24 საათის წინ, Google-მა გამოაქვეყნა განახლება Chrome-ისთვის, კონკრეტულად ეხებოდა CVE-2023-4863 კრიტიკულ დაუცველობას WebP გამოსახულების ფორმატში. ეს დაუცველობა დააფიქსირეს ტორონტოს უნივერსიტეტის Citizen Lab-ის ექსპერტებმა. განახლება ვრცელდება როგორც სტაბილურ, ასევე გაფართოებულ ფილიალებზე, ვერსიები 116.0.5845.187 ხელმისაწვდომია Mac-ისთვის და Linux-ისთვის და 116.0.5845.187/.188 Windows-ისთვის. აღსანიშნავია, რომ კიბერკრიმინალებმა უკვე გამოიყენეს ეს დაუცველობა.

CVE-2023-4863 არის ბუფერის გადინების დაუცველობა, რომელიც ნაპოვნია WebP-ში, გამოსახულების ფორმატში, რომელიც შემუშავებულია Google-ის მიერ. ეს ფორმატი, რომელიც ფართოდ გამოიყენება ინტერნეტში გამოსახულების მაღალი ხარისხის შეკუმშვისთვის, სამწუხაროდ გახდა თავდამსხმელების სამიზნე, რომლებმაც აღმოაჩინეს და ისარგებლეს ამ დაუცველობით ღია ფორმატში.

შეტევა დაფუძნებულია ბუფერული გადახურების ტექნიკაში, რამაც შეიძლება გამოიწვიოს მავნე კოდის შესრულება. WebP-თან დაკავშირებული მსგავსი საკითხი ცოტა ხნის წინ განიხილეს Apple-ის ინჟინრებმა. Citizen Lab-ის მიერ აღმოჩენილ ექსპლოიტს ეწოდა BLASTPASS. განსაკუთრებით შემაშფოთებელია ის, რომ არ საჭიროებს მომხმარებლის ინტერაქციას Pegasus spyware-ისთვის, რათა ჩამოიტვირთოს მავნე სურათთან შეხვედრის შემდეგ.

WebP მხარს უჭერს Chromium-ზე დაფუძნებულ ბევრ ბრაუზერს, როგორიცაა Edge, Opera და Vivaldi, ისევე როგორც სხვადასხვა გამოსახულების რედაქტირების პროგრამა. Google-მა, მომხმარებლების დაცვის მცდელობისას, არჩია არ გაამჟღავნოს დაუცველობის სრული დეტალები მანამ, სანამ Chrome-ის მომხმარებლების მნიშვნელოვანი ნაწილი არ განაახლებს ბრაუზერებს. თუ დადგინდება, რომ დაუცველობა ასევე გავლენას ახდენს სხვა პროექტებში გამოყენებულ WebP ბიბლიოთეკაზე, ინფორმაცია მის შესახებ გარკვეული პერიოდის განმავლობაში შენახული იქნება.

თქვენ იპოვით Google-ის ოფიციალურ სიტყვას აქ.