Tikko tika atklāta liela drošības kļūda, kas ietekmē WebP attēli tiek izmantots neskaitāmās vietnēs un lietotnēs, un tas potenciāli var ļaut hakeriem ielauzties jūsu datorā un iegūt no tā datus. Patiesībā Google to jau ir redzējis aktīvi izmantots savvaļā. Tādēļ ir svarīgi pēc iespējas ātrāk labot datoru.
Atklājumu detalizēti izklāstījis pētnieks Alekss Ivanovs, kurš par kļūdu rakstīja a emuāra ieraksts. Šobrīd šķiet, ka tas ietekmē gandrīz visus labākās tīmekļa pārlūkprogrammas, tostarp Chrome, Firefox, Edge un Brave. WebP attēli tiek izmantoti visā tīmeklī, kas nozīmē, ka var tikt ietekmēts liels skaits vietņu un lietotņu.
Ekspluatācija ir saistīta ar tā saukto kaudzes pārpildes kļūdu kodekā, kas interpretē un parāda WebP attēlus. Šī pārpildes kļūda rodas, ja uz lietotnes "kaudzes" atmiņu tiek nosūtīts vairāk datu, nekā paredzēts. Tas var ļaut negodīgam kodam aizstāt labu kodu, kā rezultātā lietotnes var darboties neparedzētā un, iespējams, ļaunprātīgā veidā.
Saistīts
- Šī kritiskā izmantošana var ļaut hakeriem apiet jūsu Mac aizsardzību
- Hakeri izmanto jaunu viltīgu triku, lai inficētu jūsu ierīces
- Šis Bing trūkums ļauj hakeriem mainīt meklēšanas rezultātus un nozagt jūsu failus
WebP failu gadījumā uzbrucējs var izveidot WebP attēlu, kas slēpj ļaunprātīgas programmatūras kodu. Kad skatāties šo attēlu, kods var tikt izpildīts, ļaujot uzbrucējam piekļūt jūsu datoram vai nozagt tajā saglabātos datus, kas var ietvert neticami sensitīvu informāciju, piemēram, jūsu paroles vai kredītkarti detaļas.
Ieteiktie videoklipi
Liels skaits vietņu izmanto WebP failus to izcilā kvalitātes un faila lieluma līdzsvara dēļ, tāpēc lietotāju skaits, kurus varētu ietekmēt šī izmantošana, ir milzīgs. Bet tas nav vienīgais, kas padara šo kļūdu tik nopietnu.
Ne tikai tīmekļa vietnes
Tā kā kļūda ietekmē WebP kodeku, tā ir atrodama arī daudzās lietotnēs, kurām nepieciešams veids, kā parādīt WebP attēlus. Ietekmētās lietotnes ietver Telegramma, 1 parole, signāls, LibreOffice, dizaina lietotņu komplekts Affinity un daudzas citas.
Vairāku šo lietotņu izstrādātāji ir sākuši ieviest labojumus, 1Password, Chrome, Firefox, Edge un Brave ir izlaiduši atjauninājumus. Apple ir arī publicējis atjauninājumu macOS Ventura kas it kā novērš kļūdu.
Ivanovs stāsta, ka par ievainojamību pirmo reizi ziņoja Apple drošības inženieru un arhitektūras komanda kopā ar The Citizen Lab Toronto Universitātes Munka skolā. Kļūda tika iesniegta 2023. gada 6. septembrī, un tai ir identifikators CVE-2023-4863.
Šīs kļūdas iespējamās nopietnības dēļ pēc iespējas ātrāk pārbaudiet, vai lietotnēs nav atjauninājumu, un noteikti atjauniniet tās pēc iespējas ātrāk. Tas ir labākais veids, kā aizsargāt datoru no šīs ļaunprātīgas izmantošanas.
Redaktoru ieteikumi
- Lapsus$ hakeri notiesāti par GTA 6, Nvidia un citu pakalpojumu pārkāpšanu
- Iespējams, hakeri ir nozaguši cita paroļu pārvaldnieka galveno atslēgu
- Nē, 1Password netika uzlauzta — lūk, kas patiesībā notika
- Šī lielā Apple kļūda var ļaut hakeriem nozagt jūsu fotoattēlus un notīrīt ierīci
- Šī milzīgā paroļu pārvaldnieka izmantošana, iespējams, nekad netiks novērsta
Uzlabojiet savu dzīvesveiduDigitālās tendences palīdz lasītājiem sekot līdzi steidzīgajai tehnoloģiju pasaulei, izmantojot visas jaunākās ziņas, jautrus produktu apskatus, ieskatu saturošus rakstus un unikālus ieskatus.