Nemrég fedeztek fel egy hatalmas biztonsági hibát, amely hatással van WebP képek számtalan webhelyen és alkalmazásban használják, és potenciálisan lehetővé teheti, hogy hackerek betörjenek a számítógépébe, és adatokat nyerjenek ki onnan. Valójában a Google már látta, hogy létezik aktívan kizsákmányolják a vadonban. Emiatt elengedhetetlen, hogy a lehető leghamarabb javítsa meg számítógépét.
A felfedezést Alex Ivanovs kutató részletezte, aki a hibáról írt a blog bejegyzés. Jelenleg úgy tűnik, hogy ez szinte az összeset érinti legjobb webböngészők, köztük a Chrome, a Firefox, az Edge és a Brave. A WebP képeket az egész weben használják, ami azt jelenti, hogy ez hatalmas számú webhelyet és alkalmazást érinthet.
Az exploit az úgynevezett halom túlcsordulási hibához kapcsolódik egy olyan kodekben, amely értelmezi és megjeleníti a WebP képeket. Ez a túlcsordulási hiba akkor fordul elő, ha több adatot küldenek egy alkalmazás „halom” memóriájába, mint amennyi tárolásra tervezték. Ez lehetővé teheti, hogy rossz kódok helyettesítsék a jó kódot, aminek eredményeként az alkalmazások váratlan – és potenciálisan rosszindulatú – módon viselkedhetnek.
Összefüggő
- Ez a kritikus kizsákmányolás lehetővé teheti a hackerek számára, hogy megkerüljék a Mac védelmét
- A hackerek egy ravasz, új trükköt használnak az eszközök megfertőzésére
- Ez a Bing hiba lehetővé teszi a hackerek számára, hogy módosítsák a keresési eredményeket, és ellopják a fájlokat
WebP-fájlok esetén a támadó olyan WebP-képet hozhat létre, amely elrejti a rosszindulatú programkódot. A kép megtekintésekor a kód lefuthat, lehetővé téve a támadó számára, hogy hozzáférjen az Ön számítógépéhez vagy ellophatja a rajta tárolt adatokat, amelyek között olyan hihetetlenül érzékeny adatok is lehetnek, mint a jelszavak vagy a hitelkártya részletek.
Ajánlott videók
Hatalmas számú webhely használ WebP fájlokat a minőség és a fájlméret kiváló egyensúlya miatt, így óriási azon felhasználók száma, akiket ez a kizsákmányolás érinthet. De nem ez az egyetlen dolog, ami miatt ez a hiba olyan súlyos.
Nem csak weboldalak
Mivel a hiba a WebP kodeket érinti, sok olyan alkalmazásban is megtalálható, amelyeknek módot kell adni a WebP képek megjelenítésére. Az érintett alkalmazások közé tartozik Távirat, 1 jelszó, jel, LibreOffice, a tervezőalkalmazások Affinity csomagja és még sok más.
Számos ilyen alkalmazás fejlesztői megkezdték a javítások kidolgozását, az 1Password, a Chrome, a Firefox, az Edge és a Brave frissítéseket adott ki. Az Apple frissítést is közzétett macOS Ventura ami állítólag kijavítja a hibát.
Ivanovs elmondása szerint a sérülékenységet először az Apple Security Engineering and Architecture csapata, valamint a Torontói Egyetem Munk School Citizen Labja jelentette. A hibát 2023. szeptember 6-án küldték be, és rendelkezik az azonosítóval CVE-2023-4863.
A hiba potenciális súlyossága miatt a lehető leghamarabb ellenőriznie kell az alkalmazások frissítését, és a lehető leggyorsabban frissítenie kell azokat. Ez a legjobb módja annak, hogy megvédje számítógépét ettől a visszaéléstől.
Szerkesztői ajánlások
- A Lapsus$ hackereit elítélték a GTA 6, az Nvidia és egyebek megsértése miatt
- A hackerek ellophatták egy másik jelszókezelő főkulcsát
- Nem, az 1Password-ot nem törték fel – ez történt valójában
- Ez a jelentős Apple-hiba lehetővé teheti a hackerek számára, hogy ellopják fényképeit, és töröljék az eszközt
- Lehetséges, hogy ezt a hatalmas jelszókezelő kizsákmányolást soha nem javítják ki
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.
