Chrome ārkārtas atjauninājums novērš kritisko WebP ievainojamību

Nedaudz vairāk nekā pirms 24 stundām Google ieviesa Chrome atjauninājumu, īpaši pievēršoties kritiskajai ievainojamībai CVE-2023-4863 WebP attēla formātā. Par šo ievainojamību ziņoja Toronto Universitātes Citizen Lab eksperti. Atjauninājums attiecas gan uz stabilo, gan paplašināto filiāli, un versijas 116.0.5845.187 ir pieejamas operētājsistēmai Mac un Linux un 116.0.5845.187/.188 operētājsistēmai Windows. Jāatzīmē, ka kibernoziedznieki jau ir izmantojuši šo ievainojamību.

CVE-2023-4863 ir bufera pārpildes ievainojamība, kas atrodama Google izstrādātā attēla formātā WebP. Šis formāts, ko plaši izmanto augstas kvalitātes attēlu saspiešanai internetā, diemžēl kļuva par uzbrucēju mērķi, kuri atklāja un izmantoja šo ievainojamību atklātā formātā.

Uzbrukuma pamatā ir bufera pārpildes tehnika, kas var izraisīt ļaunprātīga koda izpildi. Līdzīgu problēmu saistībā ar WebP nesen risināja Apple inženieri. Citizen Lab atklātais izmantojums ir nosaukts BLASTPASS. Īpaši satraucošu to padara tas, ka nav nepieciešama lietotāja iejaukšanās, lai Pegasus spiegprogrammatūra tiktu lejupielādēta pēc ļaunprātīga attēla parādīšanas.

WebP atbalsta daudzas pārlūkprogrammas, kuru pamatā ir Chromium, piemēram, Edge, Opera un Vivaldi, kā arī dažādas attēlu rediģēšanas programmas. Google, cenšoties aizsargāt lietotājus, ir izvēlējies neizpaust visu informāciju par ievainojamību, kamēr liela daļa Chrome lietotāju nav atjauninājuši savas pārlūkprogrammas. Ja tiek konstatēts, ka ievainojamība ietekmē arī citos projektos izmantoto WebP bibliotēku, informācija par to noteiktu laiku tiks slēpta.

Jūs atradīsit Google oficiālo vārdu šeit.