긴급 Chrome 업데이트로 심각한 WebP 취약점 수정

약 24시간 전에 Google은 특히 WebP 이미지 형식의 심각한 취약점 CVE-2023-4863을 해결하는 Chrome용 업데이트를 출시했습니다. 이 취약점은 토론토 대학의 Citizen Lab 전문가에 의해 보고되었습니다. 업데이트는 Mac 및 Linux용 버전 116.0.5845.187과 Windows용 116.0.5845.187/.188 버전을 포함하여 안정 분기와 확장 분기 모두에 적용됩니다. 특히 사이버 범죄자들은 ​​이미 이 취약점을 악용했습니다.

CVE-2023-4863은 Google이 개발한 이미지 형식인 WebP에서 발견된 버퍼 오버플로 취약점입니다. 인터넷에서 고품질 이미지 압축에 널리 사용되는 이 형식은 불행하게도 공개 형식에서 이 취약점을 발견하고 이용하는 공격자의 표적이 되었습니다.

해당 공격은 악성코드 실행으로 이어질 수 있는 버퍼 오버플로 기법에 뿌리를 두고 있다. WebP와 관련된 유사한 문제가 최근 Apple 엔지니어에 의해 해결되었습니다. Citizen Lab이 발견한 익스플로잇의 이름은 BLASTPASS입니다. 특히 우려스러운 점은 악성 이미지를 발견한 후 Pegasus 스파이웨어를 다운로드하기 위해 사용자 상호 작용이 필요하지 않다는 것입니다.

WebP는 Edge, Opera, Vivaldi 등 다양한 Chromium 기반 브라우저와 다양한 이미지 편집 프로그램에서 지원됩니다. Google은 사용자를 보호하기 위한 노력의 일환으로 Chrome 사용자의 상당 부분이 브라우저를 업데이트할 때까지 취약점의 전체 세부정보를 공개하지 않기로 결정했습니다. 해당 취약점이 다른 프로젝트에서 사용되는 WebP 라이브러리에도 영향을 미치는 것으로 확인되면 해당 취약점에 대한 정보는 일정 기간 동안 비공개로 유지됩니다.

Google의 공식 단어를 찾을 수 있습니다. 여기.