Екстрене оновлення Chrome усуває критичну вразливість WebP

Трохи більше 24 годин тому Google випустив оновлення для Chrome, зокрема усунувши критичну вразливість CVE-2023-4863 у форматі зображення WebP. Про цю вразливість повідомили експерти з Citizen Lab Університету Торонто. Оновлення стосується як стабільної, так і розширеної гілок, з версіями 116.0.5845.187, доступними для Mac і Linux, і 116.0.5845.187/.188 для Windows. Примітно, що кіберзлочинці вже скористалися цією вразливістю.

CVE-2023-4863 — це вразливість переповнення буфера, виявлена ​​в WebP, форматі зображень, розробленому Google. Цей формат, який широко використовується для високоякісного стиснення зображень в Інтернеті, на жаль, став ціллю зловмисників, які виявили та скористалися цією вразливістю у відкритому форматі.

Атака базується на техніці переповнення буфера, що може призвести до виконання шкідливого коду. Подібну проблему, пов’язану з WebP, нещодавно вирішували інженери Apple. Експлойт, виявлений Citizen Lab, отримав назву BLASTPASS. Що викликає особливе занепокоєння, так це те, що для завантаження шпигунського програмного забезпечення Pegasus після виявлення шкідливого образу не потрібно жодної взаємодії з користувачем.

WebP підтримується багатьма браузерами на основі Chromium, такими як Edge, Opera та Vivaldi, а також різними програмами для редагування зображень. Прагнучи захистити користувачів, Google вирішив не розголошувати всі деталі вразливості, доки значна частина користувачів Chrome не оновить свої браузери. Якщо буде визначено, що вразливість також впливає на бібліотеку WebP, яка використовується в інших проектах, інформація про неї зберігатиметься в таємниці протягом певного періоду.

Ви знайдете офіційне слово Google тут.