Google, Mozilla та Microsoft випустили критичні виправлення безпеки своїх браузерів. Патчі усувають вразливість через помилку бібліотеки (libwebp) кодеку зображень WebP. Через неї зловмисники мають змогу отримати доступ до інформації на уражених комп’ютерах. Вразливість класифікується як серйозна, і стосується не лише браузера, а цілого спектра програм на фреймворку Electron.
Вразливість позначено як CVE-2023-4863, повідомляє Stack Diary. Воно стосується переповнення буфера динамічної пам’яті у форматі зображень WebP. Корінь проблеми лежить у функції BuildHuffmanTable, яка вперше була представлена у 2014 році. Ця функція використовується для перевірки точності даних, та може створити можливість для зловмисників, за допомогою якої можна отримати контроль над системою, викрасти дані тощо.
Наразі виправлення випустили браузери на рушії Chromium — Google Chrome, Mozilla Firefox, Brave і Microsoft Edge. Якщо користуєтеся одним із них, краще зразу погодитися на запропоноване оновлення.
Вразливість впливає не лише на браузери, вона впливає на будь-яке програмне забезпечення, яке використовує бібліотеку libwebp. Сюди входять застосунки на базі Electron, наприклад — Signal.
Також libwebp використовується в таких популярних програмах, як Telegram, Affinity, Gimp, Inkscape, LibreOffice, Thunderbird, ffmpeg, в багатьох застосунках на Android, а також крос-платформових програм, створених за допомогою Flutter.
Що таке WebP?
Це розроблений компанією Google формат зображень, який забезпечує великий ступінь стиснення. Формат дуже широко застосовується веб-сайтами через переваги в розмірі перед форматами PNG і JPEG, оскільки це важливий фактор SEO-оптимізації (для просування сторінок у пошуковій видачі Google).