Хитно ажурирање Цхроме-а поправља критичну рањивост ВебП-а

Пре нешто више од 24 сата, Гоогле је представио ажурирање за Цхроме, посебно се бави критичном рањивом ЦВЕ-2023-4863 у ВебП формату слике. Ову рањивост пријавили су стручњаци из Цитизен Лаб-а на Универзитету у Торонту. Ажурирање се односи и на стабилне и на проширене гране, са верзијама 116.0.5845.187 доступним за Мац и Линук, и 116.0.5845.187/.188 за Виндовс. Приметно је да су сајбер криминалци већ искористили ову рањивост.

ЦВЕ-2023-4863 је рањивост препуне бафера која се налази у ВебП-у, формату слике који је развио Гоогле. Овај формат, који се широко користи за висококвалитетну компресију слика на интернету, нажалост је постао мета нападача који су открили и искористили ову рањивост у отвореном формату.

Напад је укорењен у техници прекорачења бафера, што може довести до извршења злонамерног кода. Сличним проблемом везаним за ВебП недавно су се позабавили Аппле инжењери. Експлоат који је открио Цитизен Лаб назван је БЛАСТПАСС. Оно што га чини посебно забрињавајућим је то што не захтева никакву интеракцију корисника да би се Пегасус шпијунски софтвер преузео након што наиђе на злонамерну слику.

ВебП подржавају многи претраживачи засновани на Цхромиум-у као што су Едге, Опера и Вивалди, као и разни програми за уређивање слика. Гоогле је, у настојању да заштити кориснике, одлучио да не открије све детаље о рањивости док значајан део корисника Цхроме-а не ажурира своје прегледаче. Ако се утврди да рањивост утиче и на ВебП библиотеку која се користи у другим пројектима, информације о њој ће се чувати у тајности одређени период.

Пронаћи ћете званичну Гоогле-ову реч овде.