Przeglądarki internetowe z poważną luką w zabezpieczeniach; zaktualizuj je natychmiast

Lukę wykryli badacze z Apple Inc. i Citizen Lab z Uniwersytetu w Toronto. Została oznaczona kodem CVE-2023-4863 i sklasyfikowana jako typ „zero-day”, czyli najwyższy priorytet błędu. Oznacza to również, że lukę wykryli jako pierwsi podstępni hakerzy, w rezultacie nie pozostawiając firmom ani jednego dnia na naprawę usterki. Reakcja musiała być możliwie jak najszybsza.

Problem leżał w zabezpieczeniu formatu WebP, z którego korzysta wiele popularnych przeglądarek internetowych. Awaria dotyczyła m.in. przeglądarek takich jak: Chrome, Microsoft, Brave, Opera, Firefox czy przeglądarka obrazów Honeyview.

Google 11 września 2023 poinformowało, że jest świadome błędu i udostępniło stosowną aktualizację:

12 września 2023 roku pojawiła się kolejna aktualizacja ze strony Google, która zawierała już 16 poprawek zabezpieczeń.

WebP jest formatem opracowanym przez Google w 2010 roku, opartym częściowo na technologii VP8, kompresującej pliki wideo. Dzięki WebP możliwe jest tworzenie obrazów dla Internetu, mniejszych od tych w formacie PNG, GIF czy JPEG.

W porównaniu z innymi formatami, WebP pozwala na bezstratną kompresję obrazów, dlatego stał się jednym z najczęściej stosowanych rozwiązań.

Luka w zabezpieczeniu kodeku WebP jest rodzajem błędu pamięci i pozwoliła na nadpisywanie złośliwego kodu w różnych segmentach. Dzięki temu hakerzy mogli instalować na komputerach nieświadomych użytkowników np. szpiegujące oprogramowanie.

Wszyscy użytkownicy wyżej wymienionych przeglądarek powinni sprawdzić, czy mają zainstalowaną najświeższą aktualizację. Błąd został wykryty stosunkowo niedawno, dlatego nie wszystkie firmy udostępniły już poprawę niwelującą problem.