💻 MayBee: френдлі HRM система. Просте та iнтуїтивне управління комплексними HR процесами 🔥

Серьезная уязвимость формата WebP затрагивает Chrome, Firefox Edge, Telegram, Signal и многие другие. Компании начали выпускать патчи, устраняющие угрозу

Недавно обнаруженная уязвимость с кодом CVE-2023-4863 связана с переполнением буфера динамической памяти в формате изображений WebP. Google Chrome и Mozilla Firefox, среди других браузеров, используют WebP для эффективного сжатия изображений. Эксплуатация этой уязвимости может поставить под угрозу безопасность миллионов интернет-пользователей.

Оставить комментарий
Серьезная уязвимость формата WebP затрагивает Chrome, Firefox Edge, Telegram, Signal и многие другие. Компании начали выпускать патчи, устраняющие угрозу

Недавно обнаруженная уязвимость с кодом CVE-2023-4863 связана с переполнением буфера динамической памяти в формате изображений WebP. Google Chrome и Mozilla Firefox, среди других браузеров, используют WebP для эффективного сжатия изображений. Эксплуатация этой уязвимости может поставить под угрозу безопасность миллионов интернет-пользователей.

О WebP

Это формат сжатия изображений с потерями или без потерь качества, предложенный компанией Google в 2010 году. Благодаря своим преимуществам в размере и скорости по сравнению с такими форматами как PNG и JPEG, он получил широкое распространение, что делает выявление и устранение этой уязвимости еще более важным.

Что произошло

Ключевой в найденной уязвимости является функция «BuildHuffmanTable», впервые представленная в 2014 году. Он используется для проверки точности данных.

Портал Stack Diary объясняет, что данные, переполняющие буфер, могут перезаписать другие важные данные или инструкции способом выгодным злоумышленнику. Если кто-то знает, что программа имеет уязвимость переполнения буфера динамической памяти, он может прислать ей специально созданные данные, которые заставят программу вести себя неожиданно.

Например, это может привести к запуску вредоносного кода или получению несанкционированного доступа к системе.

«Кодек — это как переводчик, который помогает вашему компьютеру понимать и отображать изображения WebP (формат JPEG или PNG). Если у этого кодека есть переполнение буфера динамической памяти, злоумышленник может создать вредоносное WebP-изображение, которое при просмотре использует эту уязвимость, чтобы нанести вред вашему компьютеру или украсть информацию», — объясняют в Stack Diary

Сообщается, что уязвимость критическая, поскольку если злоумышленник использует переполнение буфера динамической памяти, он получит контроль над системой и сможет похитить данные или внедрить вредоносное программное обеспечение. Защита от таких уязвимостей имеет большое значение.

Кого затрагивает уязвимость WebP (CVE-2023-4863)

Обнаруженный эксплойт влияет не только на веб-браузеры с Chromium, но и на любое программное обеспечение, использующее библиотеку libwebp. Сюда входят приложения на базе Electron, например Signal.

Существует много приложений, которые используют libwebp для рендеринга WebP-изображений, например: Affinity (программа для дизайна), Gimp, Inkscape, LibreOffice, Telegram, Thunderbird, ffmpeg, а также много приложений для Android, и кросс-платформенных приложений, созданных с помощью Flutter.

Кто уже выпустил обновление, устраняющее уязвимость WebP (CVE-2023-4863)

Браузеры:

  • Google Chrome;
  • Mozilla Firefox;
  • Brave;
  • Microsoft Edge.

Программное обеспечение:

  • Electron — фреймворк, разработанный GitHub;
  • Honeyview — просмотр изображений;
  • Thunderbird — почтовый клиент;
  • 1Password — менеджер паролей.

Пользователям рекомендуется убедиться, что их браузеры обновлены до последних версий, чтобы воспользоваться преимуществами этих важных исправлений безопасности.

Читайте главные IT-новости страны в нашем Telegram
Читайте главные IT-новости страны в нашем Telegram
По теме
Читайте главные IT-новости страны в нашем Telegram
Prozorro возобновляет приложение Bug Bounty. За найденную уязвимость можно получить до 28 000 грн.
Prozorro возобновляет приложение Bug Bounty. За найденную уязвимость можно получить до 28 000 грн.
По теме
Prozorro возобновляет приложение Bug Bounty. За найденную уязвимость можно получить до 28 000 грн.
Уязвимость пула Curve позволила хакеру украсть криптовалюты на $40 млн. Еще $100 млн под угрозой
Уязвимость пула Curve позволила хакеру украсть криптовалюты на $40 млн. Еще $100 млн под угрозой
По теме
Уязвимость пула Curve позволила хакеру украсть криптовалюты на $40 млн. Еще $100 млн под угрозой
Основатель Telegram: из-за новой уязвимости WhatsApp можно получить полный доступ к каждому телефону
Основатель Telegram: из-за новой уязвимости WhatsApp можно получить полный доступ к каждому телефону
По теме
Основатель Telegram: из-за новой уязвимости WhatsApp можно получить полный доступ к каждому телефону
Читайте также
Русская группировка хакеров выпустила фейковое приложение от имени полка «Азов»
Русская группировка хакеров выпустила фейковое приложение от имени полка «Азов»
Русская группировка хакеров выпустила фейковое приложение от имени полка «Азов»
«Если наши хакеры соберутся, чтобы дать им люлей, то, возможно, у них получится». Готова ли Украина отражать новые удары и наносить их в ответ. Интервью
«Если наши хакеры соберутся, чтобы дать им люлей, то, возможно, у них получится». Готова ли Украина отражать новые удары и наносить их в ответ. Интервью
«Если наши хакеры соберутся, чтобы дать им люлей, то, возможно, у них получится». Готова ли Украина отражать новые удары и наносить их в ответ. Интервью
В прошлом месяце, когда политики и эксперты только обсуждали возможность физического вторжения РФ на территорию Украины, гибридная война уже началась.
Киберцентр сообщает, что хакеры рассылали письма от имени АМПУ о заходе суден в Крым
Киберцентр сообщает, что хакеры рассылали письма от имени АМПУ о заходе суден в Крым
Киберцентр сообщает, что хакеры рассылали письма от имени АМПУ о заходе суден в Крым
В сеть слили 900 гигабайт данных Минрегиона — СМИ
В сеть слили 900 гигабайт данных Минрегиона — СМИ
В сеть слили 900 гигабайт данных Минрегиона — СМИ

Хотите сообщить важную новость? Пишите в Telegram-бот

Главные события и полезные ссылки в нашем Telegram-канале

Обсуждение
Комментариев пока нет.