Acil durum Chrome güncellemesi, kritik WebP güvenlik açığını giderir

24 saatten biraz daha uzun bir süre önce Google, Chrome için özellikle WebP görüntü formatındaki kritik CVE-2023-4863 güvenlik açığını gideren bir güncelleme yayınladı. Bu güvenlik açığı Toronto Üniversitesi Vatandaş Laboratuvarı uzmanları tarafından rapor edilmişti. Güncelleme, Mac ve Linux için 116.0.5845.187 ve Windows için 116.0.5845.187/.188 sürümleriyle hem kararlı hem de genişletilmiş dallar için geçerlidir. Siber suçluların bu güvenlik açığından zaten yararlanmış olması dikkat çekicidir.

CVE-2023-4863, Google tarafından geliştirilen bir resim formatı olan WebP'de bulunan bir arabellek taşması güvenlik açığıdır. İnternette yüksek kaliteli görüntü sıkıştırmak için yaygın olarak kullanılan bu format, ne yazık ki açık formatta bu güvenlik açığını keşfedip bundan yararlanan saldırganların hedefi oldu.

Saldırı, kötü amaçlı kodların yürütülmesine yol açabilecek arabellek taşması tekniğinden kaynaklanıyor. WebP ile ilgili benzer bir sorun yakın zamanda Apple mühendisleri tarafından ele alınmıştı. Citizen Lab tarafından keşfedilen istismara BLASTPASS adı verildi. Bunu özellikle endişe verici kılan şey, Pegasus casus yazılımının kötü amaçlı bir görüntüyle karşılaştıktan sonra indirilmesi için herhangi bir kullanıcı etkileşimi gerektirmemesidir.

WebP, Edge, Opera ve Vivaldi gibi birçok Chromium tabanlı tarayıcının yanı sıra çeşitli resim düzenleme programları tarafından da desteklenir. Google, kullanıcıları korumak amacıyla, Chrome kullanıcılarının önemli bir kısmı tarayıcılarını güncelleyene kadar güvenlik açığının tüm ayrıntılarını açıklamamayı tercih etti. Güvenlik açığının diğer projelerde kullanılan WebP kütüphanesini de etkilediğinin belirlenmesi halinde bu konudaki bilgiler belirli bir süre gizli tutulacak.

Google'ın resmi kelimesini bulacaksınız Burada.