Google, Mozilla и Microsoft выпустили критические исправления безопасности своих браузеров. Патчи устраняют уязвимость из-за ошибки библиотеки (libwebp) кодека изображений WebP. Через нее злоумышленники могут получить доступ к информации на пораженных компьютерах. Уязвимость классифицируется как серьезная, и касается не только браузера, а целого спектра программ на фреймворке Electron.
Уязвимость обозначена как CVE-2023-4863, сообщает Stack Diary. Оно касается переполнения буфера динамической памяти в формате изображений WebP. Корень проблемы лежит в функции BuildHuffmanTable, которая впервые была представлена в 2014 году. Эта функция используется для проверки точности данных, и может создать возможность для злоумышленников, с помощью которой те в теории способны получить контроль над системой, похитить данные и тому подобное.
Сейчас исправления выпустили браузеры на движке Chromium — Google Chrome, Mozilla Firefox, Brave и Microsoft Edge. Если пользуетесь одним из них, лучше сразу согласиться на предложенное обновление.
Уязвимость влияет не только на браузеры, а на любое программное обеспечение, которое использует библиотеку libwebp. Сюда входят приложения на базе Electron, например — Signal.
Также libwebp используется в таких популярных программах, как Telegram, Affinity, Gimp, Inkscape, LibreOffice, Thunderbird, ffmpeg, во многих приложениях на Android, а также кроссплатформенных программах, созданных с помощью Flutter.
Что такое WebP?
Это разработанный компанией Google формат изображений, который обеспечивает большую степень сжатия. Формат очень широко применяется веб-сайтами из-за преимущества в размере перед форматами PNG и JPEG, поскольку это важный фактор SEO-оптимизации (для продвижения страниц в поисковой выдаче Google).