Nöduppdatering av Chrome åtgärdar kritisk WebP-sårbarhet

För drygt 24 timmar sedan rullade Google ut en uppdatering för Chrome, som specifikt tar itu med den kritiska sårbarheten CVE-2023-4863 i WebP-bildformatet. Denna sårbarhet hade rapporterats av experter från Citizen Lab vid University of Toronto. Uppdateringen gäller både den stabila och utökade grenen, med version 116.0.5845.187 tillgänglig för Mac och Linux, och 116.0.5845.187/.188 för Windows. Noterbart är att cyberbrottslingar redan har utnyttjat denna sårbarhet.

CVE-2023-4863 är en sårbarhet för buffertspill som finns i WebP, ett bildformat utvecklat av Google. Detta format, som ofta används för högkvalitativ bildkomprimering på internet, blev tyvärr målet för angripare som upptäckte och utnyttjade denna sårbarhet i ett öppet format.

Attacken har sina rötter i tekniken för buffertspill, vilket kan leda till exekvering av skadlig kod. Ett liknande problem relaterat till WebP hade nyligen tagits upp av Apples ingenjörer. Exploateringen som upptäckts av Citizen Lab har fått namnet BLASTPASS. Det som gör det särskilt oroande är att det inte kräver någon användarinteraktion för att Pegasus spionprogram ska laddas ner efter att ha stött på en skadlig bild.

WebP stöds av många Chromium-baserade webbläsare som Edge, Opera och Vivaldi, samt olika bildredigeringsprogram. Google, i ett försök att skydda användarna, har valt att inte avslöja alla detaljer om sårbarheten förrän en stor del av Chrome-användarna har uppdaterat sina webbläsare. Om det fastställs att sårbarheten även påverkar WebP-biblioteket som används i andra projekt, kommer information om den att hållas hemlig under en viss period.

Du hittar Googles officiella ord här.