A atualização de emergência do Chrome corrige vulnerabilidade crítica do WebP

Há pouco mais de 24 horas, o Google lançou uma atualização para o Chrome, abordando especificamente a vulnerabilidade crítica CVE-2023-4863 no formato de imagem WebP. Esta vulnerabilidade foi relatada por especialistas do Citizen Lab da Universidade de Toronto. A atualização se aplica às ramificações estável e estendida, com versões 116.0.5845.187 disponíveis para Mac e Linux e 116.0.5845.187/.188 para Windows. Notavelmente, os cibercriminosos já exploraram esta vulnerabilidade.

CVE-2023-4863 é uma vulnerabilidade de buffer overflow encontrada no WebP, um formato de imagem desenvolvido pelo Google. Esse formato, muito utilizado para compactação de imagens de alta qualidade na internet, infelizmente virou alvo de invasores que descobriram e aproveitaram essa vulnerabilidade em formato aberto.

O ataque está enraizado na técnica de buffer overflow, que pode levar à execução de código malicioso. Um problema semelhante relacionado ao WebP foi recentemente abordado por engenheiros da Apple. A exploração descoberta pelo Citizen Lab foi chamada de BLASTPASS. O que o torna particularmente preocupante é que ele não requer nenhuma interação do usuário para que o spyware Pegasus seja baixado após encontrar uma imagem maliciosa.

WebP é suportado por muitos navegadores baseados em Chromium, como Edge, Opera e Vivaldi, bem como por vários programas de edição de imagens. O Google, em um esforço para proteger os usuários, optou por não divulgar todos os detalhes da vulnerabilidade até que uma parte substancial dos usuários do Chrome atualize seus navegadores. Se for determinado que a vulnerabilidade também afeta a biblioteca WebP usada em outros projetos, as informações sobre ela serão mantidas em sigilo por um determinado período.

Você encontrará a palavra oficial do Google aqui.