Awaryjna aktualizacja przeglądarki Chrome naprawia krytyczną lukę w zabezpieczeniach WebP

Nieco ponad 24 godziny temu Google udostępniło aktualizację przeglądarki Chrome, usuwającą w szczególności krytyczną lukę CVE-2023-4863 w formacie obrazu WebP. Luka ta została zgłoszona przez ekspertów z Citizen Lab na Uniwersytecie w Toronto. Aktualizacja dotyczy zarówno gałęzi stabilnej, jak i rozszerzonej, z wersjami 116.0.5845.187 dostępnymi dla komputerów Mac i Linux oraz 116.0.5845.187/.188 dla Windows. Warto zauważyć, że cyberprzestępcy wykorzystali już tę lukę.

CVE-2023-4863 to luka w zabezpieczeniach związana z przepełnieniem bufora wykryta w WebP, formacie obrazu opracowanym przez Google. Format ten, szeroko stosowany do kompresji wysokiej jakości obrazu w Internecie, niestety stał się celem atakujących, którzy odkryli i wykorzystali tę lukę w otwartym formacie.

Atak opiera się na technice przepełnienia bufora, co może doprowadzić do wykonania złośliwego kodu. Podobnym problemem związanym z WebP zajęli się niedawno inżynierowie Apple. Exploit odkryty przez Citizen Lab został nazwany BLASTPASS. Szczególnie niepokojące jest to, że nie wymaga żadnej interakcji użytkownika, aby oprogramowanie szpiegujące Pegasus zostało pobrane po napotkaniu złośliwego obrazu.

WebP jest obsługiwany przez wiele przeglądarek opartych na Chromium, takich jak Edge, Opera i Vivaldi, a także różne programy do edycji obrazów. Aby chronić użytkowników, Google zdecydowało się nie ujawniać wszystkich szczegółów tej luki, dopóki znaczna część użytkowników Chrome nie zaktualizuje swoich przeglądarek. Jeżeli okaże się, że podatność dotyczy także biblioteki WebP wykorzystywanej w innych projektach, informacja na jej temat przez pewien czas będzie trzymana w tajemnicy.

Znajdziesz oficjalne słowo Google Tutaj.