Núdzová aktualizácia prehliadača Chrome opravuje kritickú zraniteľnosť WebP

Pred o niečo viac ako 24 hodinami spoločnosť Google spustila aktualizáciu prehliadača Chrome, ktorá konkrétne rieši kritickú zraniteľnosť CVE-2023-4863 vo formáte obrázka WebP. Túto zraniteľnosť nahlásili odborníci z Citizen Lab na University of Toronto. Aktualizácia sa týka stabilnej aj rozšírenej vetvy, pričom verzie 116.0.5845.187 sú dostupné pre Mac a Linux a 116.0.5845.187/.188 pre Windows. Je pozoruhodné, že kybernetickí zločinci už túto zraniteľnosť využili.

CVE-2023-4863 je chyba zabezpečenia týkajúca sa pretečenia vyrovnávacej pamäte, ktorá sa nachádza vo WebP, obrázkovom formáte vyvinutom spoločnosťou Google. Tento formát, široko používaný na kvalitnú kompresiu obrázkov na internete, sa bohužiaľ stal cieľom útočníkov, ktorí objavili a využili túto zraniteľnosť v otvorenom formáte.

Útok má korene v technike pretečenia vyrovnávacej pamäte, čo môže viesť k spusteniu škodlivého kódu. Podobný problém súvisiaci s WebP nedávno riešili inžinieri Apple. Exploit objavený Citizen Lab bol pomenovaný BLASTPASS. Obzvlášť znepokojujúce je, že na stiahnutie spywaru Pegasus po objavení škodlivého obrázka nie je potrebná žiadna interakcia používateľa.

WebP je podporovaný mnohými prehliadačmi založenými na prehliadači Chromium, ako sú Edge, Opera a Vivaldi, ako aj rôznymi programami na úpravu obrázkov. Spoločnosť Google sa v snahe ochrániť používateľov rozhodla nezverejniť všetky podrobnosti o zraniteľnosti, kým podstatná časť používateľov prehliadača Chrome neaktualizuje svoje prehliadače. Ak sa zistí, že zraniteľnosť ovplyvňuje aj knižnicu WebP používanú v iných projektoch, informácie o nej budú určitý čas utajené.

Nájdete oficiálne slovo Google tu.