👁️👁️ 300 000 криптанів встановили собі Trustee Plus - гаманець з криптокарткою. Чого чекаєш ти? 👉

Серйозна вразливість формату WebP зачіпає Chrome, Firefox Edge, Telegram, Signal і багато інших. Компанії почали випускати патчі, що усувають загрозу

Нещодавно виявлена вразливість, що має код CVE-2023-4863, пов’язана з переповненням буферу динамічної пам’яті у форматі зображень WebP. Google Chrome та Mozilla Firefox, серед інших браузерів, використовують WebP для ефективного стиснення зображень. Експлуатація цієї вразливості може поставити під загрозу безпеку мільйонів інтернет-користувачів.

Залишити коментар
Серйозна вразливість формату WebP зачіпає Chrome, Firefox Edge, Telegram, Signal і багато інших. Компанії почали випускати патчі, що усувають загрозу

Нещодавно виявлена вразливість, що має код CVE-2023-4863, пов’язана з переповненням буферу динамічної пам’яті у форматі зображень WebP. Google Chrome та Mozilla Firefox, серед інших браузерів, використовують WebP для ефективного стиснення зображень. Експлуатація цієї вразливості може поставити під загрозу безпеку мільйонів інтернет-користувачів.

Про WebP

Це формат стиснення зображень із втратами або без втрат якості, запропонований компанією Google у 2010 році. Завдяки своїм перевагам у розмірі та швидкості порівняно з такими форматами, як PNG і JPEG, він отримав широке розповсюдження, що робить виявлення й усунення цієї вразливості ще більш важливим.

Що сталося

Ключовою у знайденій вразливості є функція «BuildHuffmanTable», яка була вперше представлена у 2014 році. Вона використовується для перевірки точності даних.

Портал Stack Diary пояснює, що дані, які переповнюють буфер, можуть перезаписати інші важливі дані або інструкції у спосіб, вигідний зловмиснику. Якщо хтось знає, що програма має вразливість переповнення буфера динамічної пам’яті, він може надіслати їй спеціально створені дані, які змусять програму поводитися неочікувано.

Наприклад, це може призвести до запуску шкідливого коду або отримання несанкціонованого доступу до системи.

«Кодек — це як перекладач, який допомагає вашому комп’ютеру розуміти й відображати зображення WebP (формат JPEG або PNG). Якщо цей кодек має переповнення буфера динамічної пам’яті, зловмисник може створити шкідливе WebP-зображення, яке при перегляді використає цю вразливість, щоб завдати шкоди вашому комп’ютеру або викрасти інформацію», — пояснюють у Stack Diary

Повідомляється, що вразливість критична, бо якщо зловмисник використає переповнення буфера динамічної пам’яті, він отримає контроль над системою та зможе викрасти дані або впровадити шкідливе програмне забезпечення. Захист від таких вразливостей має велике значення.

Кого зачіпає вразливість WebP (CVE-2023-4863)

Знайдений експлойт впливає не лише на веббраузери з Chromium, але й на будь-яке програмне забезпечення, що використовує бібліотеку libwebp. Сюди входять додатки на базі Electron, наприклад — Signal. 

Існує багато програм, які використовують libwebp для рендерингу WebP-зображень, наприклад: Affinity (програма для дизайну), Gimp, Inkscape, LibreOffice, Telegram, Thunderbird, ffmpeg, а також багато застосунків для Android, і кросплатформних програм, створених за допомогою Flutter.

Хто вже випустив оновлення, яке усуває вразливість WebP (CVE-2023-4863)

Браузери:

  • Google Chrome;
  • Mozilla Firefox;
  • Brave;
  • Microsoft Edge.

Програмне забезпечення:

  • Electron — фреймворк, розроблений GitHub;
  • Honeyview — переглядач зображень;
  • Thunderbird — поштовий клієнт;
  • 1Password — менеджер паролів.

Користувачам рекомендується переконатися, що їхні браузери оновлені до останніх версій, щоб скористатися перевагами цих критично важливих виправлень безпеки.

Читайте головні IT-новини країни в нашому Telegram
Читайте головні IT-новини країни в нашому Telegram
По темi
Читайте головні IT-новини країни в нашому Telegram
Prozorro відновлює програму Bug Bounty. За знайдену вразливість можна отримати до 28 000 грн
Prozorro відновлює програму Bug Bounty. За знайдену вразливість можна отримати до 28 000 грн
По темi
Prozorro відновлює програму Bug Bounty. За знайдену вразливість можна отримати до 28 000 грн
Вразливість пулу Curve дала змогу хакеру вкрасти криптовалюти на $40 млн. Ще $100 млн під загрозою
Вразливість пулу Curve дала змогу хакеру вкрасти криптовалюти на $40 млн. Ще $100 млн під загрозою
По темi
Вразливість пулу Curve дала змогу хакеру вкрасти криптовалюти на $40 млн. Ще $100 млн під загрозою
Засновник Telegram: через нову вразливість WhatsApp можна отримати повний доступ до кожного телефону
Засновник Telegram: через нову вразливість WhatsApp можна отримати повний доступ до кожного телефону
По темi
Засновник Telegram: через нову вразливість WhatsApp можна отримати повний доступ до кожного телефону
Читайте також
Як ламають відео-ігри та викладають їхні піратські копії? Розповідає програміст
Як ламають відео-ігри та викладають їхні піратські копії? Розповідає програміст
Як ламають відео-ігри та викладають їхні піратські копії? Розповідає програміст
Що, юний хакер, тобі цікаво, які ігри ще досі не крякнули? Тоді мерщій читай цю статтю. Нижче ми розглянемо, які технології використовуються для захисту ігор від злому. Також не пройдемо повз рекордсменів. Дізнаємося про рекордний час, за який вдалося зламати гру. Та розглянемо справжніх «міцних горішків».
1 коментар
Шахраї грабують українців від імені «Дії» та Зеленського: перелік сайтів
Шахраї грабують українців від імені «Дії» та Зеленського: перелік сайтів
Шахраї грабують українців від імені «Дії» та Зеленського: перелік сайтів
1 коментар
Кіберполіцейські розробили онлайн-гру, що допоможе дітям виробити навички безпечної поведінки в інтернеті: як скачати
Кіберполіцейські розробили онлайн-гру, що допоможе дітям виробити навички безпечної поведінки в інтернеті: як скачати
Кіберполіцейські розробили онлайн-гру, що допоможе дітям виробити навички безпечної поведінки в інтернеті: як скачати
Пишуть, що Signal зламали. Насправді - ні. Як захистити дані в месенджері - поради експерта з кібербезпеки
Пишуть, що Signal зламали. Насправді - ні. Як захистити дані в месенджері - поради експерта з кібербезпеки
Пишуть, що Signal зламали. Насправді - ні. Як захистити дані в месенджері - поради експерта з кібербезпеки

Хочете повідомити важливу новину? Пишіть у Telegram-бот

Головні події та корисні посилання в нашому Telegram-каналі

Обговорення
Коментарів поки немає.