การอัปเดต Chrome ฉุกเฉินแก้ไขช่องโหว่ที่สำคัญของ WebP

เมื่อกว่า 24 ชั่วโมงที่ผ่านมา Google ได้เปิดตัวการอัปเดตสำหรับ Chrome โดยเฉพาะการแก้ไขช่องโหว่ที่สำคัญ CVE-2023-4863 ในรูปแบบรูปภาพ WebP ช่องโหว่นี้ได้รับการรายงานโดยผู้เชี่ยวชาญจาก Citizen Lab แห่งมหาวิทยาลัยโตรอนโต การอัปเดตนี้ใช้กับทั้งสาขาที่เสถียรและขยาย โดยมีเวอร์ชัน 116.0.5845.187 สำหรับ Mac และ Linux และ 116.0.5845.187/.188 สำหรับ Windows อาชญากรไซเบอร์ได้ใช้ประโยชน์จากช่องโหว่นี้แล้ว

CVE-2023-4863 เป็นช่องโหว่บัฟเฟอร์ล้นที่พบใน WebP ซึ่งเป็นรูปแบบภาพที่พัฒนาโดย Google รูปแบบนี้ซึ่งใช้กันอย่างแพร่หลายสำหรับการบีบอัดภาพคุณภาพสูงบนอินเทอร์เน็ต แต่น่าเสียดายที่กลายเป็นเป้าหมายของผู้โจมตีที่ค้นพบและใช้ประโยชน์จากช่องโหว่นี้ในรูปแบบเปิด

การโจมตีมีรากฐานมาจากเทคนิคบัฟเฟอร์ล้น ซึ่งอาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตราย ปัญหาที่คล้ายกันที่เกี่ยวข้องกับ WebP ได้รับการแก้ไขโดยวิศวกรของ Apple เมื่อเร็วๆ นี้ การใช้ประโยชน์ที่ค้นพบโดย Citizen Lab ได้รับการตั้งชื่อว่า BLASTPASS สิ่งที่ทำให้เกิดความกังวลเป็นพิเศษก็คือ ไม่จำเป็นต้องมีการโต้ตอบกับผู้ใช้ใดๆ เพื่อดาวน์โหลดสปายแวร์ Pegasus หลังจากพบภาพที่เป็นอันตราย

WebP ได้รับการสนับสนุนโดยเบราว์เซอร์ที่ใช้ Chromium เช่น Edge, Opera และ Vivaldi รวมถึงโปรแกรมแก้ไขรูปภาพต่างๆ ด้วยความพยายามที่จะปกป้องผู้ใช้ Google ได้เลือกที่จะไม่เปิดเผยรายละเอียดทั้งหมดของช่องโหว่จนกว่าผู้ใช้ Chrome ส่วนใหญ่ได้อัปเดตเบราว์เซอร์ของตนแล้ว หากมีการพิจารณาแล้วว่าช่องโหว่ดังกล่าวส่งผลกระทบต่อไลบรารี WebP ที่ใช้ในโปรเจ็กต์อื่นด้วย ข้อมูลเกี่ยวกับช่องโหว่นี้จะถูกเก็บไว้เป็นความลับในช่วงระยะเวลาหนึ่ง

คุณจะพบคำที่เป็นทางการของ Google ที่นี่.