Этот массовый эксплойт позволяет хакерам взламывать ваши любимые приложения | ENBLE
Mass exploit allows hackers to hack your favorite apps | ENBLE
Была обнаружена массовая уязвимость, которая затрагивает изображения WebP, используемые на неопределенном количестве веб-сайтов и приложений, и потенциально может позволить хакерам взломать ваш компьютер и извлечь данные из него. Фактически, Google уже заметил активное использование этой уязвимости. Поэтому важно, чтобы вы как можно скорее устранили эту проблему на своем компьютере.
Об этой уязвимости детально рассказал исследователь Алекс Ивановс, который опубликовал о ней статью в своем блоге. На данный момент она, кажется, затрагивает практически все лучшие веб-браузеры, включая Chrome, Firefox, Edge и Brave. Изображения WebP используются повсюду в сети, что означает, что могут быть затронуты огромное количество сайтов и приложений.
Уязвимость связана с так называемой утечкой кучи в кодеке, который интерпретирует и отображает изображения WebP. Эта утечка происходит, когда в “кучу” памяти приложения отправляется больше данных, чем она предназначена для хранения. Это может позволить коварному коду заменить хороший код, в результате чего приложения могут вести себя неожиданным — и потенциально вредоносным — образом.
В случае файлов WebP злоумышленник может создать изображение WebP, в котором скрыт вредоносный код. При просмотре этого изображения код может быть выполнен, что позволяет злоумышленнику получить доступ к вашему компьютеру или украсть данные, хранящиеся на нем, которые могут включать крайне чувствительную информацию, такую как ваши пароли или данные кредитных карт.
Огромное количество веб-сайтов используют файлы WebP из-за их отличного соотношения качества и размера файлов, поэтому количество пользователей, которых может затронуть эта уязвимость, огромно. Но это не единственное, что делает эту ошибку такой серьезной.
- Кнопка действия iPhone 15 Pro будет поддерживать приложение Transla...
- Все модели iPhone 15 поддерживают DisplayPort для вывода видео с ра...
- Оценки Geekbench для iPhone 15 Pro подтверждают заявления Apple о б...
Не только веб-сайты
Поскольку уязвимость затрагивает кодек WebP, она также присутствует во многих приложениях, которым требуется способ отображения изображений WebP. Среди затронутых приложений Telegram, 1Password, Signal, LibreOffice, пакет дизайн-приложений Affinity и многие другие.
Разработчики нескольких из этих приложений уже начали выпускать исправления, обновления были выпущены для 1Password, Chrome, Firefox, Edge и Brave. Apple также опубликовала обновление для macOS Ventura, которое, предположительно, устраняет эту уязвимость.
Ивановс говорит, что уязвимость впервые была зарегистрирована Командой по инженерии и архитектуре безопасности Apple в сотрудничестве с Citizen Lab в Манкской школе Торонто. Ошибку было сообщено 6 сентября 2023 года, и ей был присвоен идентификатор CVE-2023-4863.
Из-за потенциальной серьезности этой ошибки, вам следует проверить ваши приложения на наличие обновлений как можно скорее и обновить их как можно быстрее. Это лучший способ защитить ваш компьютер от этой уязвимости.