Экстренное обновление Chrome исправляет критическую уязвимость WebP

Чуть более 24 часов назад Google выпустил обновление для Chrome, специально устраняющее критическую уязвимость CVE-2023-4863 в формате изображений WebP. Об этой уязвимости сообщили эксперты Citizen Lab Университета Торонто. Обновление распространяется как на стабильную, так и на расширенную ветки: версии 116.0.5845.187 доступны для Mac и Linux, а версии 116.0.5845.187/.188 для Windows. Примечательно, что киберпреступники уже воспользовались этой уязвимостью.

CVE-2023-4863 — это уязвимость переполнения буфера, обнаруженная в WebP, формате изображений, разработанном Google. Этот формат, широко используемый для высококачественного сжатия изображений в Интернете, к сожалению, стал целью злоумышленников, которые обнаружили и воспользовались этой уязвимостью в открытом формате.

В основе атаки лежит техника переполнения буфера, что может привести к выполнению вредоносного кода. Аналогичная проблема, связанная с WebP, недавно рассматривалась инженерами Apple. Эксплойт, обнаруженный Citizen Lab, получил название BLASTPASS. Что особенно важно, так это то, что для загрузки шпионского ПО Pegasus после обнаружения вредоносного изображения не требуется никакого взаимодействия с пользователем.

WebP поддерживается многими браузерами на базе Chromium, такими как Edge, Opera и Vivaldi, а также различными программами для редактирования изображений. Google, стремясь защитить пользователей, решил не раскрывать полную информацию об уязвимости до тех пор, пока значительная часть пользователей Chrome не обновят свои браузеры. Если будет установлено, что уязвимость затрагивает также библиотеку WebP, используемую в других проектах, информация о ней будет храниться в секрете в течение определенного периода.

Вы найдете официальное сообщение Google здесь.