تم اكتشاف خطأ أمني هائل للتو يؤثر على صور ويب بي يتم استخدامه في عدد لا يحصى من مواقع الويب والتطبيقات، ومن المحتمل أن يسمح للمتسللين باقتحام جهاز الكمبيوتر الخاص بك واستخراج البيانات منه. في الواقع، لقد رأت جوجل ذلك بالفعل استغلالها بنشاط في البرية. ولهذا السبب، من الضروري أن تقوم بتصحيح جهاز الكمبيوتر الخاص بك في أقرب وقت ممكن.
تم تفصيل هذا الاكتشاف من قبل الباحث أليكس إيفانوف، الذي كتب عن الخطأ في مقال مشاركة مدونة. في الوقت الحالي، يبدو أنه يؤثر على جميع أنحاء العالم تقريبًا أفضل متصفحات الويب، بما في ذلك Chrome وFirefox وEdge وBrave. يتم استخدام صور WebP في جميع أنحاء الويب، مما يعني أن عددًا كبيرًا من المواقع والتطبيقات قد تتأثر.
يتعلق الاستغلال بما يسمى خطأ تجاوز سعة الكومة في برنامج الترميز الذي يفسر ويعرض صور WebP. يحدث خطأ تجاوز السعة هذا عندما يتم إرسال المزيد من البيانات إلى ذاكرة "الكومة" الخاصة بالتطبيق أكثر مما تم تصميمه للاحتفاظ به. يمكن أن يسمح ذلك بتبديل التعليمات البرمجية الشائنة محل التعليمات البرمجية الجيدة، مما يؤدي إلى أن تتصرف التطبيقات بطرق غير متوقعة - وربما ضارة.
متعلق ب
- قد يسمح هذا الاستغلال الخطير للمتسللين بتجاوز دفاعات جهاز Mac الخاص بك
- يستخدم المتسللون خدعة جديدة مخادعة لإصابة أجهزتك
- يتيح هذا الخلل في Bing للمتسللين تغيير نتائج البحث وسرقة ملفاتك
في حالة ملفات WebP، يمكن للمهاجم إنشاء صورة WebP تخفي تعليمات برمجية ضارة. عند عرض هذه الصورة، يمكن تنفيذ التعليمات البرمجية، مما يسمح للمهاجم بالوصول إلى جهاز الكمبيوتر الخاص بك أو سرقة البيانات المخزنة عليه، والتي قد تتضمن معلومات حساسة بشكل لا يصدق مثل كلمات المرور أو بطاقة الائتمان الخاصة بك تفاصيل.
مقاطع الفيديو الموصى بها
تستخدم أعداد كبيرة من مواقع الويب ملفات WebP نظرًا لتوازنها الممتاز بين الجودة وحجم الملف، وبالتالي فإن عدد المستخدمين الذين يمكن أن يتأثروا بهذا الاستغلال هائل. ولكن هذا ليس الشيء الوحيد الذي يجعل هذا الخطأ خطيرًا جدًا.
ليس فقط المواقع الإلكترونية
نظرًا لأن الخطأ يؤثر على برنامج ترميز WebP، فهو موجود أيضًا في العديد من التطبيقات التي تحتاج إلى طريقة لعرض صور WebP. تشمل التطبيقات المتأثرة برقية1 كلمة المرور، الإشارة، ليبر أوفيسومجموعة Affinity لتطبيقات التصميم وغير ذلك الكثير.
وقد بدأ مطورو العديد من هذه التطبيقات في طرح الإصلاحات، حيث أصدر 1Password وChrome وFirefox وEdge وBrave تحديثات. نشرت شركة Apple أيضًا تحديثًا لـ ماك فنتورا من المفترض أن يصلح الخلل.
يقول إيفانوف أنه تم الإبلاغ عن الثغرة الأمنية لأول مرة من قبل فريق الهندسة والهندسة الأمنية التابع لشركة Apple، بالتعاون مع The Citizen Lab في كلية مونك بجامعة تورونتو. تم إرسال الخطأ في 6 سبتمبر 2023، ويحمل المعرف CVE-2023-4863.
نظرًا لخطورة هذا الخطأ المحتمل، يجب عليك التحقق من تطبيقاتك بحثًا عن التحديثات في أقرب وقت ممكن، والتأكد من تحديثها بأسرع ما يمكن. هذه هي أفضل طريقة للحفاظ على جهاز الكمبيوتر الخاص بك آمنًا من هذا الاستغلال.
توصيات المحررين
- إدانة قراصنة Lapsus$ باختراق GTA 6 وNvidia والمزيد
- ربما يكون المتسللون قد سرقوا المفتاح الرئيسي لمدير كلمات مرور آخر
- لا، لم يتم اختراق 1Password – وهذا ما حدث بالفعل
- قد يسمح هذا الخلل الكبير في Apple للمتسللين بسرقة صورك ومسح جهازك
- قد لا يتم إصلاح هذا الاستغلال الضخم لإدارة كلمات المرور أبدًا
ترقية نمط حياتكتساعد الاتجاهات الرقمية القراء على متابعة عالم التكنولوجيا سريع الخطى من خلال أحدث الأخبار ومراجعات المنتجات الممتعة والمقالات الافتتاحية الثاقبة ونظرات خاطفة فريدة من نوعها.