П’ятниця, 22 Листопада, 2024

Вимикайте картинки в інтернеті: активно використовується діра, до якої браузери та додатки вразливі

Google змусив усіх перейти на картинки формату WebP. Але в бібліотеці, яку використовують усі браузери та багато додатків, включаючи додатки на вашому смартфоні, для відображення цих картинок, знайшли діру. Це не теоретична загроза – хакери активно використовують її для зараження комп’ютерів.

Вразливість CVE-2023-4863 виявлено в бібліотеці libwebp і вона вважається надзвичайно серйозною. Основні браузери, такі як Chrome, Edge, Firefox, Opera, Vivaldi та Brave, уже випустили виправлення безпеки. Щоб переконатися, що у вас найновіша версія браузера, перейдіть до розділу Довідка та знайдіть пункт про браузер. Якщо доступне нове оновлення, воно має завантажитися автоматично.

Серйозність цієї вразливості пояснюється також тим, що її використовують не лише браузери. Вразлива версія бібліотеки використовується, наприклад, такими додатками як  Affinity (дизайнерський софт), Gimp (редактор зображень), Inkscape (векторний редактор зображень), LibreOffice (офісний пакет), Telegram (месенджер), Thunderbird (клієнт електронної пошти, уже отримав патч), ffmpeg (кодувальник відео). Список можна продовжувати, особливо список вразливих програм для платформи Android та додатків, створених за допомогою фреймворку Flutter.

Формат зображень WebP був розроблений Google і, оскільки Google є монополістом в інтернеті, за що його в 2023 році судять, пошуковий гігант змусив усі сайти перейти на цей формат. Ті сайти, які продовжують використовувати традиційні формати зображень JPG чи PNG втрачали свої позиції в рейтингу Google, а, отже, втрачали і відвідувачів.

Цікаво, що зображення не вперше стають дірою для проникнення хакерів. Наприклад, в 2022 році, за даними Securonix, хакери розсилали фішингові електронні листи, що містять офісний документ Microsoft, у якому є заражене зображення глибокого космосу з космічного телескопа Джеймс Вебб. Воно включає шкідливий код Base64.

А в 2021 році стало відомо, що хакерська група Lazarus почала використовувати зображення формату BMP для приховування шкідливого програмного забезпечення.

Євген
Євген
Євген пише для TechToday з 2012 року. Інженер за освітою. Захоплюється реставрацією старих автомобілів.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися