Току-що беше открит масивен бъг в сигурността, който засяга WebP изображения използва се в неописуем брой уебсайтове и приложения и потенциално може да позволи на хакерите да проникнат в компютъра ви и да извлекат данни от него. Всъщност Google вече го видя активно експлоатирани в дивата природа. Поради това е важно да закърпите компютъра си възможно най-скоро.
Откритието е описано подробно от изследователя Алекс Иванов, който пише за грешката в a блог пост. В момента изглежда, че засяга почти всички най-добрите уеб браузъри, включително Chrome, Firefox, Edge и Brave. WebP изображенията се използват в цялата мрежа, което означава, че огромен брой сайтове и приложения могат да бъдат засегнати.
Експлойтът е свързан с това, което се нарича грешка при препълване на купчина в кодек, който интерпретира и показва WebP изображения. Този бъг при препълване възниква, когато към „купчината“ памет на приложението се изпращат повече данни, отколкото е предназначено да побере. Това може да позволи на подлия код да замени добрия код, в резултат на което приложенията могат да се държат по неочаквани — и потенциално злонамерени — начини.
Свързани
- Този критичен експлойт може да позволи на хакерите да заобиколят защитите на вашия Mac
- Хакерите използват коварен нов трик, за да заразят вашите устройства
- Този недостатък на Bing позволява на хакерите да променят резултатите от търсенето и да откраднат вашите файлове
В случай на WebP файлове, нападателят може да създаде WebP изображение, което скрива зловреден код. Когато видите това изображение, кодът може да бъде изпълнен, позволявайки на атакуващия да получи достъп до вашия компютър или крадат данни, съхранени в него, които могат да включват невероятно чувствителна информация като вашите пароли или кредитна карта подробности.
Препоръчани видеоклипове
Огромен брой уебсайтове използват WebP файлове поради техния отличен баланс между качество и размер на файла, така че броят на потребителите, които могат да бъдат засегнати от този експлойт, е огромен. Но това не е единственото нещо, което прави този бъг толкова сериозен.
Не само уебсайтове
Тъй като грешката засяга WebP кодек, тя се намира и в много приложения, които се нуждаят от начин за показване на WebP изображения. Засегнатите приложения включват Телеграма, 1 парола, сигнал, LibreOffice, пакетът от приложения за дизайн на Affinity и много други.
Разработчиците на няколко от тези приложения започнаха да пускат корекции, като 1Password, Chrome, Firefox, Edge и Brave са издали актуализации. Apple също публикува актуализация на macOS Ventura което уж коригира грешката.
Ивановс казва, че уязвимостта е била докладвана за първи път от екипа на Apple по сигурността и архитектурата, заедно с The Citizen Lab към Munk School към Университета на Торонто. Грешката е изпратена на 6 септември 2023 г. и има идентификатора CVE-2023-4863.
Поради потенциалната сериозност на тази грешка, трябва да проверите приложенията си за актуализации възможно най-скоро и да се уверите, че ги актуализирате възможно най-бързо. Това е най-добрият начин да предпазите компютъра си от този експлойт.
Препоръки на редакторите
- Хакери Lapsus$ осъдени за нарушаване на GTA 6, Nvidia и др
- Хакерите може да са откраднали главния ключ на друг мениджър на пароли
- Не, 1Password не е хакнат – ето какво наистина се случи
- Този основен бъг на Apple може да позволи на хакерите да откраднат вашите снимки и да изтрият устройството ви
- Този огромен експлойт на мениджъра на пароли може никога да не бъде коригиран
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
