Этот масштабный эксплойт позволяет хакерам взламывать такие приложения, как Chrome, 1Password и Telegram.

Дядя Влад

Только что была обнаружена серьезная ошибка безопасности, которая влияет на изображения WebP , используемые на бесчисленном количестве веб-сайтов и приложений, и потенциально может позволить хакерам проникнуть в ваш компьютер и извлечь из него данные. Фактически, Google уже видел, как его активно эксплуатируют . По этой причине очень важно как можно скорее обновить свой компьютер.

Об открытии подробно рассказал исследователь Алекс Иванов, который написал об ошибке в своем блоге . На данный момент, похоже, это затронуло почти все лучшие веб-браузеры , включая Chrome, Firefox, Edge и Brave. Изображения WebP используются во всей сети, а это означает, что может быть затронуто огромное количество сайтов и приложений.

Темная загадочная рука печатает ночью на портативном компьютере.

Эксплойт связан с так называемой ошибкой переполнения кучи в кодеке, который интерпретирует и отображает изображения WebP. Эта ошибка переполнения возникает, когда в «кучную» память приложения отправляется больше данных, чем она предназначена для хранения. Это может позволить злонамеренному коду заменить хороший код, в результате чего приложения могут вести себя неожиданным и потенциально вредоносным образом.

В случае с файлами WebP злоумышленник может создать образ WebP, скрывающий вредоносный код. Когда вы просматриваете это изображение, код может быть выполнен, позволяя злоумышленнику получить доступ к вашему компьютеру или украсть хранящиеся на нем данные, которые могут включать невероятно конфиденциальную информацию, такую ​​​​как ваши пароли или данные кредитной карты.

Огромное количество веб-сайтов используют файлы WebP из-за их превосходного баланса качества и размера файла, поэтому количество пользователей, которые могут пострадать от этого эксплойта, огромно. Но это не единственное, что делает эту ошибку настолько серьезной.

Не только сайты

Большой монитор, отображающий предупреждение о взломе системы безопасности.

Поскольку ошибка затрагивает кодек WebP, она также встречается во многих приложениях, которым требуется способ отображения изображений WebP. Затронутые приложения включают Telegram , 1Password, Signal, LibreOffice , набор дизайнерских приложений Affinity и многие другие.

Разработчики некоторых из этих приложений начали внедрять исправления: 1Password, Chrome, Firefox, Edge и Brave выпустили обновления. Apple также опубликовала обновление для macOS Ventura , которое предположительно исправляет эту ошибку.

Иванов говорит, что об уязвимости впервые сообщила команда Apple по разработке безопасности и архитектуре совместно с лабораторией Citizen Lab в школе Мунка при Университете Торонто. Ошибка была зарегистрирована 6 сентября 2023 года и имеет идентификатор CVE-2023-4863 .

Из-за потенциальной серьезности этой ошибки вам следует как можно скорее проверить свои приложения на наличие обновлений и обязательно обновлять их как можно быстрее. Это лучший способ защитить ваш компьютер от этого эксплойта.