🚀 Trustee Plus - картка європейського банку і криптогаманець. Встанови додаток 👉
Олександр КузьменкоГаряченьке
14 вересня 2023, 14:26
2023-09-14
Серйозна вразливість формату WebP зачіпає Chrome, Firefox Edge, Telegram, Signal і багато інших. Компанії почали випускати патчі, що усувають загрозу
Нещодавно виявлена вразливість, що має код CVE-2023-4863, пов’язана з переповненням буферу динамічної пам’яті у форматі зображень WebP. Google Chrome та Mozilla Firefox, серед інших браузерів, використовують WebP для ефективного стиснення зображень. Експлуатація цієї вразливості може поставити під загрозу безпеку мільйонів інтернет-користувачів.
Ключовою у знайденій вразливості є функція «BuildHuffmanTable», яка була вперше представлена у 2014 році. Вона використовується для перевірки точності даних.
Портал Stack Diary пояснює, що дані, які переповнюють буфер, можуть перезаписати інші важливі дані або інструкції у спосіб, вигідний зловмиснику. Якщо хтось знає, що програма має вразливість переповнення буфера динамічної пам’яті, він може надіслати їй спеціально створені дані, які змусять програму поводитися неочікувано.
Наприклад, це може призвести до запуску шкідливого коду або отримання несанкціонованого доступу до системи.
Повідомляється, що вразливість критична, бо якщо зловмисник використає переповнення буфера динамічної пам’яті, він отримає контроль над системою та зможе викрасти дані або впровадити шкідливе програмне забезпечення. Захист від таких вразливостей має велике значення.
Кого зачіпає вразливість WebP (CVE-2023-4863)
Знайдений експлойт впливає не лише на веббраузери з Chromium, але й на будь-яке програмне забезпечення, що використовує бібліотеку libwebp. Сюди входять додатки на базі Electron, наприклад — Signal.
Існує багато програм, які використовують libwebp для рендерингу WebP-зображень, наприклад: Affinity (програма для дизайну), Gimp, Inkscape, LibreOffice, Telegram, Thunderbird, ffmpeg, а також багато застосунків для Android, і кросплатформних програм, створених за допомогою Flutter.
Хто вже випустив оновлення, яке усуває вразливість WebP (CVE-2023-4863)
Браузери:
Google Chrome;
Mozilla Firefox;
Brave;
Microsoft Edge.
Програмне забезпечення:
Electron — фреймворк, розроблений GitHub;
Honeyview — переглядач зображень;
Thunderbird — поштовий клієнт;
1Password — менеджер паролів.
Користувачам рекомендується переконатися, що їхні браузери оновлені до останніх версій, щоб скористатися перевагами цих критично важливих виправлень безпеки.
Як ламають відео-ігри та викладають їхні піратські копії? Розповідає програміст
Що, юний хакер, тобі цікаво, які ігри ще досі не крякнули? Тоді мерщій читай цю статтю. Нижче ми розглянемо, які технології використовуються для захисту ігор від злому. Також не пройдемо повз рекордсменів. Дізнаємося про рекордний час, за який вдалося зламати гру. Та розглянемо справжніх «міцних горішків».