Podle Cyberkendra Google vyřešil zranitelnost libwebp přidělením nového CVE. Chyba zabezpečení byla nalezena v knihovně obrázků WebP.
Technické společnosti jsou někdy zasaženy kritickými zranitelnostmi, které mohou ohrozit data společnosti a uživatelů. V tomto případě byla cílem knihovna libwebp. Knihovna libwebp se používá v mnoha aplikacích a programech ke kódování a dekódování obrázků ve formátu WebP.
Apple a Citizen Lab poprvé zaznamenaly zranitelnost knihovny obrázků WebP jako CVE-2023-4863, která je specifická pro Google Chrome. Nyní jej Google překlasifikoval jako CVE-2023-5129 a správně jej připsal jako chybu v libwebp.
Chyba zabezpečení libwebp získává nové CVE
Abychom byli konkrétnější, open-source balíček libwebp, který nabízí kódování a dekódování obrázků ve formátu WebP, obsahuje chybu ve své bezztrátové komprimační složce.
Způsob, jakým tato chyba zabezpečení zasáhne uživatele, je jednoduchý. Proces začíná škodlivým obrazem WebP. Jakmile uživatel soubor otevře, může útočník spustit libovolný kód a získat přístup k datům oběti.
Podle bývalého manažera Project Zero Bena Hawkese lze tuto chybu proměnit ve vzdálený exploit pro aplikace jako Signal a WhatsApp na postižených zařízeních Android. Dodal: „Špatnou zprávou je, že Android je stále pravděpodobně ovlivněn. Podobně jako Apple ImageIO má Android zařízení nazvané BitmapFactory, které zpracovává dekódování obrázků, a samozřejmě je podporován libwebp.“
Tato chyba zabezpečení byla poprvé nalezena v prohlížeči Google Chrome a označena jako CVE-2023-4863. Může však infikovat jakýkoli software, který používá kodek WebP prostřednictvím knihovny libwebp. Mozilla Firefox, Apple Safari a Microsoft Edge jsou další webové prohlížeče, které využívají libwebp.
Bezpočet aplikací pro Linux, Android, Windows a macOS se spoléhá na zpracování obrázků WebP prostřednictvím libwebp. Nebezpečí spočívá v tom, že nativní aplikace prohlížeče na zařízeních Android jsou významným cílem chyby, protože kodek je zabudován do systému Android.
Google opravil zranitelnost svých aplikací. Nyní je čas, aby jakákoli jiná platforma nebo aplikace, která používá knihovnu libwebp, vydala záplaty svým uživatelům, aby problém vyřešila.
Zdroj: androidheadlines.com
