Nujna posodobitev za Chrome odpravlja kritično ranljivost WebP

Pred nekaj več kot 24 urami je Google uvedel posodobitev za Chrome, ki je posebej obravnavala kritično ranljivost CVE-2023-4863 v formatu slike WebP. O tej ranljivosti so poročali strokovnjaki iz Citizen Lab na Univerzi v Torontu. Posodobitev velja tako za stabilno kot za razširjeno vejo, pri čemer sta različici 116.0.5845.187 na voljo za Mac in Linux ter 116.0.5845.187/.188 za Windows. Predvsem kibernetski kriminalci so že izkoristili to ranljivost.

CVE-2023-4863 je ranljivost prekoračitve medpomnilnika, ki jo najdemo v WebP, formatu slike, ki ga je razvil Google. Ta format, ki se pogosto uporablja za visokokakovostno stiskanje slik na internetu, je na žalost postal tarča napadalcev, ki so odkrili in izkoristili to ranljivost v odprtem formatu.

Napad temelji na tehniki prekoračitve medpomnilnika, ki lahko privede do izvajanja zlonamerne kode. Podobno težavo, povezano z WebP, so nedavno obravnavali Applovi inženirji. Izkoriščanje, ki ga je odkril Citizen Lab, se imenuje BLASTPASS. Še posebej zaskrbljujoče je to, da ne zahteva nikakršne interakcije uporabnika za prenos vohunske programske opreme Pegasus, potem ko naleti na zlonamerno sliko.

WebP podpirajo številni brskalniki, ki temeljijo na Chromiumu, kot so Edge, Opera in Vivaldi, ter različni programi za urejanje slik. Google se je v prizadevanju za zaščito uporabnikov odločil, da ne bo razkril vseh podrobnosti o ranljivosti, dokler velik del uporabnikov Chroma ne posodobi svojih brskalnikov. Če se ugotovi, da ranljivost vpliva tudi na knjižnico WebP, ki se uporablja v drugih projektih, bodo informacije o njej nekaj časa prikrite.

Našli boste Googlovo uradno besedo tukaj.