Chrome-nødoppdatering fikser kritisk WebP-sårbarhet

For litt over 24 timer siden lanserte Google en oppdatering for Chrome, spesifikt adressert den kritiske sårbarheten CVE-2023-4863 i WebP-bildeformatet. Denne sårbarheten ble rapportert av eksperter fra Citizen Lab ved University of Toronto. Oppdateringen gjelder både for den stabile og utvidede grenen, med versjon 116.0.5845.187 tilgjengelig for Mac og Linux, og 116.0.5845.187/.188 for Windows. Spesielt har nettkriminelle allerede utnyttet denne sårbarheten.

CVE-2023-4863 er et bufferoverløpssårbarhet funnet i WebP, et bildeformat utviklet av Google. Dette formatet, mye brukt for høykvalitets bildekomprimering på internett, ble dessverre målet for angripere som oppdaget og utnyttet denne sårbarheten i et åpent format.

Angrepet er forankret i teknikken for bufferoverløp, som kan føre til utførelse av ondsinnet kode. Et lignende problem relatert til WebP hadde nylig blitt behandlet av Apple-ingeniører. Utnyttelsen oppdaget av Citizen Lab har fått navnet BLASTPASS. Det som gjør det spesielt bekymringsfullt er at det ikke krever noen brukerinteraksjon for at Pegasus-spyware skal lastes ned etter å ha møtt et skadelig bilde.

WebP støttes av mange Chromium-baserte nettlesere som Edge, Opera og Vivaldi, samt forskjellige bilderedigeringsprogrammer. Google, i et forsøk på å beskytte brukerne, har valgt å ikke avsløre alle detaljer om sikkerhetsproblemet før en betydelig del av Chrome-brukere har oppdatert nettleserne sine. Hvis det fastslås at sårbarheten også påvirker WebP-biblioteket som brukes i andre prosjekter, vil informasjon om det holdes skjult i en viss periode.

Du finner Googles offisielle ord her.