Чуть более суток назад Google выпустила обновление для Chrome, устраняя критическую уязвимость CVE-2023-4863 в формате изображений WebP, о которой сообщили эксперты из Citizen Lab, находящегося при университете Торонто. Стабильные и расширенные ветки были обновлены до версий 116.0.5845.187 для Mac и Linux и 116.0.5845.187/.188 для Windows. Киберпреступники уже успели воспользоваться этой уязвимостью.
Уязвимость с кодом CVE-2023-4863 связана с переполнением буфера во время работы с WebP, форматом изображения, созданным Google. Этот формат, обеспечивающий высокое качество сжатия изображений, активно применяется в интернете. К сожалению, злоумышленники обнаружили и эксплуатировали эту слабость в открытом формате.
В основе атаки лежит тактика переполнения буфера, которое влечет последующее исполнение вредоносного кода. Схожий тикет, связанный с WebP, недавно рассматривался инженерами Apple. Citizen Lab назвала найденный эксплойт BLASTPASS. Он не требует никакого взаимодействия со стороны пользователя для загрузки шпионского ПО Pegasus после получения вредоносного изображения.
Множество браузеров на базе Chromium, таких как Edge, Opera и Vivaldi, а также программы для редактирования изображений поддерживают WebP. Google решила не раскрывать детали уязвимости до тех пор, пока большинство пользователей не обновит свой Chrome. Если окажется, что уязвимость затронула библиотеку WebP, использованную в других проектах, информация о ней будет держаться в секрете ещё некоторое время.
Представитель браузера Vivaldi отметил, что они тщательно следят за обновлениями Chromium и быстро реагируют на вопросы безопасности, иногда выпуская патчи в тот же день. Уязвимости, связанные с переполнением буфера, могут вызвать сбои в программном обеспечении или даже запуск нежелательного кода.