Ką tik buvo aptikta didžiulė saugos klaida, kuri paveikia WebP vaizdai naudojama daugybėje svetainių ir programų, todėl įsilaužėliai gali įsilaužti į jūsų kompiuterį ir iš jo išgauti duomenis. Tiesą sakant, „Google“ tai jau matė aktyviai eksploatuojama gamtoje. Dėl to labai svarbu kuo greičiau pataisyti kompiuterį.
Atradimą išsamiai aprašė tyrėjas Aleksas Ivanovas, kuris apie klaidą rašė a tinklaraščio straipsnis. Šiuo metu atrodo, kad tai paveikia beveik visus geriausios interneto naršyklės, įskaitant „Chrome“, „Firefox“, „Edge“ ir „Brave“. WebP vaizdai naudojami visame žiniatinklyje, todėl gali būti paveikta daugybė svetainių ir programų.
Išnaudojimas yra susijęs su vadinamąja krūvos perpildymo klaida kodeke, kuris interpretuoja ir rodo WebP vaizdus. Ši perpildymo klaida atsiranda, kai į programos „krūvos“ atmintį siunčiama daugiau duomenų, nei ji skirta laikyti. Tai gali leisti netinkamam kodui pakeisti gerą kodą, todėl programos gali veikti netikėtai ir potencialiai kenksmingai.
Susijęs
- Šis svarbus išnaudojimas gali leisti įsilaužėliams apeiti jūsų „Mac“ apsaugą
- Įsilaužėliai naudoja gudrią naują gudrybę, kad užkrėstų jūsų įrenginius
- Šis „Bing“ trūkumas leido įsilaužėliams keisti paieškos rezultatus ir pavogti jūsų failus
„WebP“ failų atveju užpuolikas gali sukurti „WebP“ vaizdą, kuris slepia kenkėjiškos programos kodą. Kai peržiūrite šį vaizdą, kodas gali būti paleistas, todėl užpuolikas gali pasiekti jūsų kompiuterį arba pavogti jame saugomus duomenis, kurie gali apimti neįtikėtinai neskelbtiną informaciją, pvz., slaptažodžius ar kredito kortelę detales.
Rekomenduojami vaizdo įrašai
Daugybė svetainių naudoja WebP failus dėl puikios kokybės ir failo dydžio pusiausvyros, todėl vartotojų, kuriems šis išnaudojimas gali turėti įtakos, skaičius yra didžiulis. Tačiau tai nėra vienintelis dalykas, dėl kurio ši klaida yra tokia rimta.
Ne tik svetainės
Kadangi klaida turi įtakos WebP kodekui, ji taip pat randama daugelyje programų, kurioms reikia būdo rodyti WebP vaizdus. Paveiktos programos apima Telegrama, 1 slaptažodis, signalas, LibreOffice, dizaino programų rinkinys „Affinity“ ir daugelis kitų.
Kelių iš šių programų kūrėjai pradėjo diegti pataisymus – 1Password, Chrome, Firefox, Edge ir Brave išleido naujinimus. „Apple“ taip pat paskelbė atnaujinimą macOS Ventura kuris tariamai ištaiso klaidą.
Ivanovas sako, kad apie pažeidžiamumą pirmą kartą pranešė „Apple“ saugumo inžinerijos ir architektūros komanda kartu su „The Citizen Lab“ Toronto universiteto Munk mokyklos mokykloje. Klaida buvo pateikta 2023 m. rugsėjo 6 d. ir turi identifikatorių CVE-2023-4863.
Dėl galimo šios klaidos rimtumo turėtumėte kuo greičiau patikrinti, ar programose nėra naujinių, ir kuo greičiau juos atnaujinti. Tai geriausias būdas apsaugoti kompiuterį nuo šio išnaudojimo.
Redaktorių rekomendacijos
- Lapsus$ įsilaužėliai nuteisti už GTA 6, Nvidia ir kt. pažeidimus
- Įsilaužėliai galėjo pavogti pagrindinį raktą į kitą slaptažodžių tvarkyklę
- Ne, 1 slaptažodis nebuvo nulaužtas – štai kas iš tikrųjų atsitiko
- Ši didelė „Apple“ klaida gali leisti įsilaužėliams pavogti jūsų nuotraukas ir ištrinti įrenginį
- Šis didžiulis slaptažodžių tvarkyklės išnaudojimas gali niekada nebus ištaisytas
Atnaujinkite savo gyvenimo būdąSkaitmeninės tendencijos padeda skaitytojams stebėti sparčiai besivystantį technologijų pasaulį, kuriame pateikiamos visos naujausios naujienos, smagios produktų apžvalgos, įžvalgūs vedamieji leidiniai ir unikalūs žvilgsniai.
