זה עתה התגלה באג אבטחה ענק שמשפיע תמונות WebP בשימוש במספר לא ידוע של אתרים ואפליקציות, והוא עלול לאפשר להאקרים לפרוץ למחשב שלך ולחלץ ממנו נתונים. למעשה, גוגל כבר ראתה זאת מנוצל באופן פעיל בטבע. בגלל זה, חיוני שתתקן את המחשב שלך בהקדם האפשרי.
התגלית פורטה על ידי החוקר אלכס איבנובס, שכתב על הבאג ב פוסט בבלוג. כרגע, נראה שזה משפיע כמעט על כל דפדפני האינטרנט הטובים ביותר, כולל Chrome, Firefox, Edge ו-Brave. תמונות WebP נמצאות בשימוש בכל רחבי האינטרנט, כלומר מספר עצום של אתרים ואפליקציות עשוי להיות מושפע.
הניצול מתייחס למה שנקרא באג גלישה בערימה ב-codec שמפרש ומציג תמונות WebP. באג ההצפה הזה מתרחש כאשר יותר נתונים נשלחים לזיכרון "ערימה" של אפליקציה ממה שהוא נועד להחזיק. זה יכול לאפשר לקוד מרושע להחליף קוד טוב, וכתוצאה מכך אפליקציות יכולות להתנהג בדרכים בלתי צפויות - ועלולות להיות זדוניות -.
קָשׁוּר
- ניצול קריטי זה יכול לאפשר להאקרים לעקוף את ההגנות של ה-Mac שלך
- האקרים משתמשים בטריק חדש וערמומי כדי להדביק את המכשירים שלך
- פגם Bing זה מאפשר להאקרים לשנות תוצאות חיפוש ולגנוב את הקבצים שלך
במקרה של קבצי WebP, תוקף יכול ליצור תמונת WebP שמסתירה קוד תוכנה זדונית. כאשר אתה צופה בתמונה זו, הקוד יכול להתבצע, ולאפשר לתוקף לקבל גישה למחשב שלך או לגנוב נתונים המאוחסנים בו, שעשוי לכלול מידע רגיש להפליא כמו הסיסמאות או כרטיס האשראי שלך פרטים.
סרטונים מומלצים
מספר עצום של אתרי אינטרנט משתמשים בקבצי WebP בשל האיזון המצוין שלהם בין איכות וגודל קובץ, כך שמספר המשתמשים שעלולים להיות מושפעים מהניצול הזה הוא עצום. אבל זה לא הדבר היחיד שהופך את הבאג הזה לכל כך רציני.
לא רק אתרי אינטרנט
מכיוון שהבאג משפיע על Codec WebP, הוא נמצא גם באפליקציות רבות שצריכות דרך להציג תמונות WebP. האפליקציות המושפעות כוללות מִברָק, 1סיסמה, אות, LibreOffice, חבילת ה-Affinity של אפליקציות עיצוב ועוד רבות אחרות.
המפתחים של כמה מהאפליקציות הללו החלו להפיץ תיקונים, כאשר 1Password, Chrome, Firefox, Edge ו- Brave הוציאו עדכונים. אפל גם פרסמה עדכון ל macOS Ventura זה כביכול מתקן את הבאג.
איבנובס אומר שהפגיעות דווחה לראשונה על ידי צוות הנדסת אבטחה וארכיטקטורה של אפל, יחד עם מעבדת האזרחים בבית הספר Munk של אוניברסיטת טורונטו. הבאג נשלח ב-6 בספטמבר 2023 ויש לו את המזהה CVE-2023-4863.
בשל החומרה הפוטנציאלית של באג זה, עליך לבדוק באפליקציות שלך עדכונים בהקדם האפשרי, ולהקפיד לעדכן אותם במהירות האפשרית. זו הדרך הטובה ביותר לשמור על המחשב שלך מפני ניצול זה.
המלצות עורכים
- האקרים של Lapsus$ הורשעו בהפרת GTA 6, Nvidia ועוד
- ייתכן שהאקרים גנבו את המפתח הראשי למנהל סיסמאות אחר
- לא, 1Password לא נפרץ - הנה מה שבאמת קרה
- הבאג הגדול הזה של אפל יכול לאפשר להאקרים לגנוב את התמונות שלך ולמחוק את המכשיר שלך
- ייתכן שהניצול העצום הזה של מנהל הסיסמאות לעולם לא יתוקן
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.