Как лучшие предложения, хвост не привязан
Время от времени мы в Техноблог Мы сообщили о нарушении безопасности и посоветовали вам обновить определенную программу. На этот раз рекомендуется проверить, установлены ли на всех ваших браузерах последние версии. В кодеке формата изображений WebP была лазейка, которая затрагивала, среди прочего, Chrome, Edge, Firefox, Opera и Brave.
Затронуты несколько браузеров (Изображение: Денни Мюллер/Unsplash).
WebP — это формат изображений для Интернета, который позволяет создавать файлы намного меньшего размера, чем JPEG, PNG и GIF. Он был разработан Google.
Apple и Citizen Lab в Университете Торонто обнаружили уязвимость в кодеке WebP, отвечающем за кодирование и декодирование изображений. Ей был присвоен код CVE-2023-4863.
Эта уязвимость позволяла вредоносному образу записывать данные в области памяти, к которым у него не должно быть доступа. Таким образом, этот файл будет иметь возможность аварийно завершать работу программ или выполнять команды без разрешения пользователя.
Обновите свой браузер (независимо от того, какой он)
Поскольку формат WebP довольно популярен в сети, эта лазейка затронула многие браузеры.
Одной из «жертв» стал Chromium, проект с открытым исходным кодом, который служит основой для нескольких браузеров, таких как Chrome от Google, Edge от Microsoft, Brave и Opera и других. Все они получили обновления за последние несколько дней.
Пострадали даже те, кто не использует Chromium. Так обстоит дело с браузером Firefox и почтовым клиентом Thunderbird, оба от Mozilla. Они получили обновления, исправляющие уязвимость безопасности.
Даже малоизвестным программам, таким как просмотрщик изображений Honeyview, пришлось решать проблему.
Поскольку уязвимость была обнаружена в этот вторник (12), не исключено, что и другие программы получат обновления в ближайшие дни. В любом случае, как никогда, актуален старый добрый совет: всегда обновляйте свои приложения и системы.
Apple исправила еще одну ошибку на прошлой неделе
Сбой, связанный с WebP, относится к типу нулевого дня. Это означает, что оно было обнаружено злоумышленниками первыми, в результате чего у компаний, ответственных за программное обеспечение, осталось «ноль дней» на устранение проблемы.
На прошлой неделе Apple пришлось обновить операционные системы своих устройств, чтобы устранить уязвимость нулевого дня. Эта проблема позволяла злоумышленникам устанавливать шпионское ПО Pegasus даже без щелчка пользователя.
Коммуникационная информация: выпуски Chrome, Bleeping Computer, рекомендации по безопасности Mozilla, недели безопасности.
BraveChromiumFirefoxGoogle ChromeMicrosoft EdgeOperaWebPFundação MozillaAppleMicrosoftGoogleThunderbirdGIFJPEG