Сегодня 27 июля 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → webp

Google экстренно обновила Chrome для устранения уязвимости, которая позволяла взламывать пользователей через изображения WebP

Google выпустила срочное обновление браузера Chrome, закрывающее уязвимость, на которую компании указали специалисты Citizen Lab при университете Торонто (Канада). Уязвимость связана с форматом изображений WebP, и известно, что она эксплуатировалась киберпреступниками.

 Источник изображения: google.com/chrome

Источник изображения: google.com/chrome

Критическая уязвимость за номером CVE-2023-4863 связана с переполнением буфера при обработке WebP. Этот формат изображений разработала сама Google — он активно используется в интернете, обеспечивая эффективное сжатие как без потери качества, так и с ней. К сожалению, распространители вредоносного ПО нашли уязвимость, связанную с этим открытым форматом.

WebP поддерживается многочисленными браузерами на базе Chromium, включая Edge, Opera и Vivaldi, а также редакторами изображения. В Google заявили, что пока не станут публиковать подробности о выявленной уязвимости — компании придётся подождать, когда Chrome обновится у большинства пользователей. Впрочем, и этим дело не ограничится: разработчик будет какое-то время хранить молчание, если выяснится, что уязвимость коснулась библиотеки для обработки WebP, которая используется в других проектах.

Из разработчиков сторонних браузеров комментарий предоставил только представитель проекта Vivaldi — он заявил, что проект внимательно отслеживает базу Chromium и предпринимает срочные меры при выпуске обновлений безопасности, иногда реагируя в тот же день. Что же касается природы уязвимости, эксплойты, связанные с переполнением буфера, обычно приводят к сбоям в работе ПО или позволяют запускать произвольный код.


window-new
Soft
Hard
Тренды 🔥
Дешёвые сканеры штрихкодов помогли в кратчайшие сроки восстановить пострадавшие от CrowdStrike компьютеры 3 ч.
Новая статья: Flintlock: The Siege of Dawn — хорошие идеи в неудачной обёртке. Рецензия 3 ч.
Анонсирован китайский ролевой детектив Kill the Shadow, напоминающий смесь Disco Elysium и The Last Night 4 ч.
Соцсеть X начала без уведомления использовать данные пользователей для обучения Grok 5 ч.
Mirthwood получила новый трейлер и дату выхода — это ролевой симулятор жизни в фэнтезийном мире, вдохновлённый Fable, Stardew Valley и The Sims 6 ч.
Журналисты выяснили, какие игры пострадают от забастовки актёров озвучки — GTA VI в безопасности 7 ч.
Разработчики Gran Turismo 7 извинились за баг, который запускает машины в космос 8 ч.
Хинштейн пояснил, почему в России замедлится YouTube 9 ч.
Windows 11 сможет добавлять синхронизированный с ПК Android-смартфон в «Проводник» 9 ч.
Заказы на ИИ и мейнфреймы z16 помогли IBM увеличить выручку и прибыль 10 ч.