Эксперты предупреждают, что уязвимость CVE-2023-4863, закрытая в понедельник в Google Chrome, на самом деле затрагивает большинство браузеров, поскольку касается декодирования изображений в формате WebP. При демонстрации специально подготовленного изображения происходит запись памяти за пределами буфера, что может приводить к выполнению произвольного кода.
Если условной жертве подсунуть специально созданный медиафайл, у атакующего появится возможность выполнить вредоносный код.
«Попытка открыть файл в формате WebP может привести к переполнению буфера. Мы в курсе, что киберпреступники уже используют этот баг в атаках», — пишет Mozilla в уведомлении.
Удалённый злоумышленник может подготовить специальную HTML-страницу и с её помощью прочитать память за пределами границ.
Уязвимость эксплуатировалась на практике, в Google о ней сообщили ИБ-специалисты Apple и Citizen Lab.
Во вторник обновления выпустила Mozilla (Firefox и Thunderbird), а Microsoft включила во вторник патчей соответствующее обновление своего браузера Edge.
Новая версия Chrome доступна в стабильном канале (также и в Extended). Ожидается, что до всех пользователей апдейт дойдёт в ближайшие дни или недели. Актуальные номера сборки — 116.0.5845.187 (macOS и Linux) и 116.0.5845.187/.188 (Windows). Девелоперы подчёркивают, что игнорировать эти обновления не стоит.
Для продуктов Mozilla актуальными теперь являются версии Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 и Thunderbird 115.2.2.
Поскольку на движках от Google и Mozilla основаны многие другие продукты, пользователям Brave, Tor и других альтернативных браузеров тоже нужно внимательно следить за обновлениями и оперативно их установить.
С заботой о вашей безопасности, команда Origin Security
