Google и Mozilla пуснаха спешни актуализации срещу уязвимост, позволяваща хакване на потребители чрез WebP изображения
В актуалната мрежа едно " злонамерено " WebP изображение може да трансформира браузъра ви в заплаха
Емил Василев преди 20 секунди 0 СподелиНай-четени
ТелефониДаниел Десподов - 13:32 | 11.09.2023Според мениджмънта на компанията смарт телефонът Redmi Note 13 Pro+ няма да има конкуренция в мобилната снимка
ТелефониДаниел Десподов - 11:24 | 11.09.2023За Apple става прекомерно комплицирано в Китай – съвсем всеки минава към Huawei
IT НовиниДаниел Десподов - 10:23 | 11.09.2023Тази област се развива доста бързо – компанията Mahle създаде „ идеалният “ електродвигател (видео)
Емил Василевhttps://www.kaldata.com/Традиционният файл с изображение би трябвало да съдържа единствено графики и метаданни, които са потребни за проявлението на изображение или поредност от изображения на екрана, само че нещата са станали доста по-сложни от това и едно „ просто “ WebP изображение към този момент може да се трансформира в злоумишлен вектор, който да бъде употребен в интервенции по киберпрестъпления.
Наскоро Гугъл пусна нова актуализация за своя уеб браузър Chrome за всички поддържани операционни системи за лични компютри, която има за цел да в профил интензивно експлоатирана накърнимост в сигурността. Засега не са известни детайлности за уязвимостта, само че казусът визира браузъри и интернет клиенти, създадени и от други компании.
Проследена като CVE-2023-4863, уязвимостта е обвързвана с „ препълване на буфера “ при обработка на WebP. Чрез тази накърнимост далечен нападател може да се възползва от дефекта, с цел да извърши запис в паметта отвън заделения буфер посредством направена HTML страница, което може да докара до случайно (и евентуално злонамерено) осъществяване на код.
WebP се поддържа от голям брой браузъри, основани на Chromium, в това число Edge, Opera и Vivaldi, както и от редактори на изображения.
Този минус визира и уеб браузъри и други интернет принадлежности, създадени от Mozilla. Сред разработчиците на браузъри от трети страни коментар даде единствено представител на Vivaldi – той съобщи, че от компанията наблюдават от близко базата на Chromium и подхващат незабавни дейности при стартиране на актуализации за сигурност, като от време на време реагира още същия ден.
Отварянето на „ злонамерено “ WebP изображение може да докара до препълване на купчина буфер в процеса на наличието, с евентуални сривове или осъществяване на случаен код. Както Mozilla, по този начин и Гугъл взеха решение към този момент да не разкриват съответни детайлности за грешката, защото особено квалифицираните офанзиви към момента не престават и потребителите ще се нуждаят от време, с цел да изтеглят и конфигурират актуализациите.
