Avarinis „Chrome“ naujinys ištaiso kritinį „WebP“ pažeidžiamumą

Šiek tiek daugiau nei prieš 24 valandas „Google“ išleido „Chrome“ naujinimą, specialiai pašalinantį kritinį pažeidžiamumą CVE-2023-4863 WebP vaizdo formatu. Apie šį pažeidžiamumą pranešė Toronto universiteto Citizen Lab ekspertai. Atnaujinimas taikomas tiek stabilioms, tiek išplėstinėms šakoms, o 116.0.5845.187 versijos galimos „Mac“ ir „Linux“, o 116.0.5845.187/.188 – „Windows“. Pažymėtina, kad kibernetiniai nusikaltėliai jau pasinaudojo šiuo pažeidžiamumu.

CVE-2023-4863 yra buferio perpildymo pažeidžiamumas, rastas WebP – „Google“ sukurtame vaizdo formate. Šis formatas, plačiai naudojamas aukštos kokybės vaizdų glaudinimui internete, deja, tapo taikiniu užpuolikų, kurie atrado ir pasinaudojo šį pažeidžiamumą atvirame formate.

Ataka yra pagrįsta buferio perpildymo technika, dėl kurios gali būti vykdomas kenkėjiškas kodas. Panašią problemą, susijusią su WebP, neseniai sprendė Apple inžinieriai. „Citizen Lab“ aptiktas išnaudojimas buvo pavadintas BLASTPASS. Ypatingą nerimą kelia tai, kad nereikalaujama jokios vartotojo sąveikos, kad „Pegasus“ šnipinėjimo programa būtų atsisiunčiama aptikus kenkėjišką vaizdą.

„WebP“ palaiko daugelis „Chromium“ pagrįstų naršyklių, tokių kaip „Edge“, „Opera“ ir „Vivaldi“, taip pat įvairios vaizdo redagavimo programos. „Google“, siekdama apsaugoti vartotojus, nusprendė neatskleisti visos pažeidžiamumo informacijos, kol didelė dalis „Chrome“ naudotojų neatnaujins savo naršyklių. Jei bus nustatyta, kad pažeidžiamumas taip pat turi įtakos kituose projektuose naudojamai WebP bibliotekai, informacija apie ją tam tikrą laikotarpį bus paslėpta.

Rasite oficialų „Google“ žodį čia.