👁️👁️ 300 000 криптанів встановили собі Trustee Plus - гаманець з криптокарткою. Чого чекаєш ти? 👉
Олександр КузьменкоГоряченькое
14 сентября 2023, 14:26
2023-09-14
Серьезная уязвимость формата WebP затрагивает Chrome, Firefox Edge, Telegram, Signal и многие другие. Компании начали выпускать патчи, устраняющие угрозу
Недавно обнаруженная уязвимость с кодом CVE-2023-4863 связана с переполнением буфера динамической памяти в формате изображений WebP. Google Chrome и Mozilla Firefox, среди других браузеров, используют WebP для эффективного сжатия изображений. Эксплуатация этой уязвимости может поставить под угрозу безопасность миллионов интернет-пользователей.
Ключевой в найденной уязвимости является функция «BuildHuffmanTable», впервые представленная в 2014 году. Он используется для проверки точности данных.
Портал Stack Diary объясняет, что данные, переполняющие буфер, могут перезаписать другие важные данные или инструкции способом выгодным злоумышленнику. Если кто-то знает, что программа имеет уязвимость переполнения буфера динамической памяти, он может прислать ей специально созданные данные, которые заставят программу вести себя неожиданно.
Например, это может привести к запуску вредоносного кода или получению несанкционированного доступа к системе.
Сообщается, что уязвимость критическая, поскольку если злоумышленник использует переполнение буфера динамической памяти, он получит контроль над системой и сможет похитить данные или внедрить вредоносное программное обеспечение. Защита от таких уязвимостей имеет большое значение.
Кого затрагивает уязвимость WebP (CVE-2023-4863)
Обнаруженный эксплойт влияет не только на веб-браузеры с Chromium, но и на любое программное обеспечение, использующее библиотеку libwebp. Сюда входят приложения на базе Electron, например Signal.
Существует много приложений, которые используют libwebp для рендеринга WebP-изображений, например: Affinity (программа для дизайна), Gimp, Inkscape, LibreOffice, Telegram, Thunderbird, ffmpeg, а также много приложений для Android, и кросс-платформенных приложений, созданных с помощью Flutter.
Кто уже выпустил обновление, устраняющее уязвимость WebP (CVE-2023-4863)
Браузеры:
Google Chrome;
Mozilla Firefox;
Brave;
Microsoft Edge.
Программное обеспечение:
Electron — фреймворк, разработанный GitHub;
Honeyview — просмотр изображений;
Thunderbird — почтовый клиент;
1Password — менеджер паролей.
Пользователям рекомендуется убедиться, что их браузеры обновлены до последних версий, чтобы воспользоваться преимуществами этих важных исправлений безопасности.
УЧАСТЬ В АЗАРТНИХ ІГРАХ МОЖЕ ВИКЛИКАТИ ІГРОВУ ЗАЛЕЖНІСТЬ. ДОТРИМУЙТЕСЯ ПРАВИЛ (ПРИНЦИПІВ) ВІДПОВІДАЛЬНОЇ ГРИ.
Ліцензія видана ТОВ "СЛОТС Ю.ЕЙ." на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 15.09.23 (рішення КРАІЛ №245 від 31.08.2023); ТОВ "СЛОТС Ю.ЕЙ." – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 26.04.2021 (рішення КРАІЛ №150 від 12.04.2021); ТОВ «СПЕЙСИКС» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 08.02.2021 (рішення КРАІЛ №34 від 02.02.2021); ТОВ «ГЕЙМДЕВ» – на провадження діяльності з організації та проведення азартних ігор казино у мережі Інтернет від 16.02.2021 (рішення № 47 від 10.02.2021).
«Если наши хакеры соберутся, чтобы дать им люлей, то, возможно, у них получится». Готова ли Украина отражать новые удары и наносить их в ответ. Интервью
В прошлом месяце, когда политики и эксперты только обсуждали возможность физического вторжения РФ на территорию Украины, гибридная война уже началась.