Biztonsági kutatók szerdán egy figyelmeztetést adtak ki, amiben arról tájékoztatták a nyilvánosságot, hogy sikerült egy olyan új sebezhetőséget azonosítaniuk, ami szinte minden népszerű böngészőt támadhatóvá tehet.

A biztonsági rés a Google Chrome, a Microsoft Edge valamint a Mozilla Firefox és az Apple Safari mellett még az olyan, kevésbé népszerű alternatívákat is érinti, mint pl. a Brave, valamint egy rakás további alkalmazást is sérülékennyé tesz, mint pl. Telegram vagy a Gimp.

A libwebp a hibás

Ennek oka, hogy a biztonsági rés valójában egy, az érintett szoftverek mindegyike által használt programkönyvtárban, a libwebp-ben található meg, amivel előbbiek a WebP típusú grafikus állományok feldolgozását végzik. Az ebben található rutinokban egy speciális, manipulált .webp fájl segítségével puffer-túlcsordulási hiba váltható ki, ezen keresztül pedig tetszőleges programkódot tudnak hackerek vagy kártevők a szóban forgó programokba injektálni.

A CVE-2023-4863-ként követett sebezhetőség kihasználásához támadóknak mindössze a szóban forgó állomány vagy az azt tartalmazó dokumentum vagy weblap megnyitására kell rávenniük áldozataikat. A sérülékenység a már említett programok mellett a LibreOffice-t, az ffmpeg-et, a Thunderbird-öt, valamint rengeteg mobil- vagy asztali alkalmazást is érint, amik pl. a Flutter vagy Electron nevű keretrendszerekre épülnek - ezek ugyanis szintén tartalmazzák és használják a szóban forgó hibás kódokat.

Rengeteg másik program is sebezhető

Az összes érintett programok körét fel se lehet mérni, de egyértelmű, hogy a legnagyobb fenyegetést a hibás böngészők, levelezőprogramok és chatprogramok jelentik, hiszen ezekbe nagyon könnyen és szinte bárki képes lehet a hiba kihasználására alkalmas képfájlt küldeni, vagy annak fogadására vagy megnyitására a felhasználót rávenni. A .webp fájlokon kívül szinte bármilyen más állomány is alkalmas lehet a támadás kivitelezésére, amibe be lehet ágyazni ilyen képeket; illetve elég lehet az, ha a program az előnézetét próbálja megjeleníteni a szóban forgó képeknek, ami a felhasználó közreműködése nélkül is lehetséges lehet.

Ha mindez nem lenne elég, a Google megerősítette, hogy már sikerült észlelnie a sebezhetőség kihasználását a való világban is böngészőjében, ami azt jelenti, hogy hackerek már jelen pillanatban is próbálhatnak azzal gépeket feltörni. A böngészők közül a Chrome, az Edge és a Safari a napokban már megkapták a javításokat, amik megvédik őket, de nem lehet eléggé hangsúlyozni, hogy mivel alaphangon is programok ezreit érintheti a probléma, ezért szinte minden gép és eszköz továbbra is támadható maradhat.

A WebP képfájl-formátum

A WebP egy modern képformátum, amelyet a Google fejlesztett ki a webes tartalmak gyorsabb átvitele és megjelenítése érdekében. A veszteséges és veszteségmentes tömörítést is támogató képformátum a PNG és JPEG állományoknál mintegy 30%-kal kisebb méretben teszi lehetővé fotók és más összetett képek tárolását érzékelhető minőségcsökkenés nélkül. A formátum támogatását az utóbbi években rendkívül sok programba építették be, és ezek legtöbbje a Google által kidolgozott és közzétett libwebp-t használja fel a WebP fájlok kezelésére - ezért érintett ezek mindegyike a hiba által.

Forrás: pcforum.hu