Noodupdate voor Chrome verhelpt kritieke WebP-kwetsbaarheid

Iets meer dan 24 uur geleden heeft Google een update voor Chrome uitgerold, die specifiek de kritieke kwetsbaarheid CVE-2023-4863 in het WebP-afbeeldingsformaat aanpakt. Deze kwetsbaarheid was gemeld door experts van het Citizen Lab van de Universiteit van Toronto. De update is van toepassing op zowel de stabiele als de uitgebreide branches, met versies 116.0.5845.187 beschikbaar voor Mac en Linux, en 116.0.5845.187/.188 voor Windows. Cybercriminelen hebben deze kwetsbaarheid al misbruikt.

CVE-2023-4863 is een bufferoverloopkwetsbaarheid gevonden in WebP, een afbeeldingsformaat ontwikkeld door Google. Dit formaat, dat veel wordt gebruikt voor hoogwaardige beeldcompressie op internet, werd helaas het doelwit van aanvallers die deze kwetsbaarheid in een open formaat ontdekten en misbruikten.

De aanval vindt zijn oorsprong in de techniek van bufferoverflow, wat kan leiden tot het uitvoeren van kwaadaardige code. Een soortgelijk probleem met betrekking tot WebP is onlangs aangepakt door Apple-technici. De door Citizen Lab ontdekte exploit heet BLASTPASS. Wat het bijzonder zorgwekkend maakt, is dat er geen gebruikersinteractie nodig is om de Pegasus-spyware te downloaden nadat er een kwaadaardig beeld is aangetroffen.

WebP wordt ondersteund door veel Chromium-gebaseerde browsers zoals Edge, Opera en Vivaldi, evenals door verschillende beeldbewerkingsprogramma's. In een poging gebruikers te beschermen heeft Google ervoor gekozen de volledige details van het beveiligingslek niet openbaar te maken totdat een aanzienlijk deel van de Chrome-gebruikers hun browser heeft bijgewerkt. Als wordt vastgesteld dat de kwetsbaarheid ook de WebP-bibliotheek treft die in andere projecten wordt gebruikt, wordt informatie hierover gedurende een bepaalde periode verborgen gehouden.

U vindt het officiële woord van Google hier.