Actualizarea de urgență Chrome remediază vulnerabilitatea critică WebP

Cu puțin peste 24 de ore în urmă, Google a lansat o actualizare pentru Chrome, abordând în special vulnerabilitatea critică CVE-2023-4863 în formatul de imagine WebP. Această vulnerabilitate a fost raportată de experții de la Citizen Lab de la Universitatea din Toronto. Actualizarea se aplică atât ramurilor stabile, cât și extinse, cu versiunile 116.0.5845.187 disponibile pentru Mac și Linux și 116.0.5845.187/.188 pentru Windows. În special, infractorii cibernetici au exploatat deja această vulnerabilitate.

CVE-2023-4863 este o vulnerabilitate de buffer overflow găsită în WebP, un format de imagine dezvoltat de Google. Acest format, utilizat pe scară largă pentru compresia imaginilor de înaltă calitate pe internet, a devenit, din păcate, ținta atacatorilor care au descoperit și au profitat de această vulnerabilitate într-un format deschis.

Atacul este înrădăcinat în tehnica depășirii buffer-ului, care poate duce la execuția de cod rău intenționat. O problemă similară legată de WebP a fost abordată recent de inginerii Apple. Exploita-ul descoperit de Citizen Lab a fost numit BLASTPASS. Ceea ce îl face deosebit de îngrijorător este că nu necesită nicio interacțiune a utilizatorului pentru ca programul spion Pegasus să fie descărcat după ce ați întâlnit o imagine rău intenționată.

WebP este acceptat de multe browsere bazate pe Chromium, cum ar fi Edge, Opera și Vivaldi, precum și diferite programe de editare a imaginilor. Google, într-un efort de a proteja utilizatorii, a ales să nu dezvăluie detaliile complete ale vulnerabilității până când o parte substanțială a utilizatorilor Chrome își vor actualiza browserele. Dacă se stabilește că vulnerabilitatea afectează și biblioteca WebP utilizată în alte proiecte, informațiile despre aceasta vor fi păstrate secret pentru o anumită perioadă.

Veți găsi cuvântul oficial al Google Aici.