Google экстренно обновила Chrome для устранения уязвимости, которая позволяла взламывать пользователей через изображения WebP

Google выпустила срочное обновление браузера Chrome, закрывающее уязвимость, на которую компании указали специалисты Citizen Lab при университете Торонто (Канада). Уязвимость связана с форматом изображений WebP, и известно, что она эксплуатировалась киберпреступниками.

Критическая уязвимость за номером CVE-2023-4863 связана с переполнением буфера при обработке WebP. Этот формат изображений разработала сама Google — он активно используется в интернете, обеспечивая эффективное сжатие как без потери качества, так и с ней. К сожалению, распространители вредоносного ПО нашли уязвимость, связанную с этим открытым форматом.

WebP поддерживается многочисленными браузерами на базе Chromium, включая Edge, Opera и Vivaldi, а также редакторами изображения. В Google заявили, что пока не станут публиковать подробности о выявленной уязвимости — компании придётся подождать, когда Chrome обновится у большинства пользователей. Впрочем, и этим дело не ограничится: разработчик будет какое-то время хранить молчание, если выяснится, что уязвимость коснулась библиотеки для обработки WebP, которая используется в других проектах.

Из разработчиков сторонних браузеров комментарий предоставил только представитель проекта Vivaldi — он заявил, что проект внимательно отслеживает базу Chromium и предпринимает срочные меры при выпуске обновлений безопасности, иногда реагируя в тот же день. Что же касается природы уязвимости, эксплойты, связанные с переполнением буфера, обычно приводят к сбоям в работе ПО или позволяют запускать произвольный код.