חולשת אבטחה זוהתה במנוע פרסור מדיה (תמונות וסרטים) WebP, החולשה דווחה על-ידי אפל (SEAR) ו-The Citizen Lab ב-6 לחודש והיא קיבלה את ה-CVE-2023-4863. החולשה נוצלה בפועל עוד לפני שגוגל היו מודעים לה, לא נמסר על-ידי מי, אך לפי המעורבים בדיווח, כנראה שמדובר בגורמי ממשל שהצליחו להניח את ידם על החולשה וכנראה קשור ל-NSO והחולשה BLASTPASS.
גוגל ממליצים למשתמשים שלהם לעדכן לגרסה האחרונה של כרום, 116.0.5845.187.
קריאה נוספת:
Mozilla (מוצרים Firefox ו-Thunderbird) גם כן עושים שימוש בספריה המדוברת, ולכן פגיעים לאותה חולשה. גרסאות מתוקנות הן Firefox 117.0.1/ESR 102.15.1 ו-Thunderbird 115.2.2/ESR 102.15.1.
האפשרות הזו לא נבדקה לעומק, יתכן והיא לא מגנה! המשיכו על אחריותכם בלבד.
אני משער שאפשר לבטל את הפיצ’ר image.webp.enabled ב-about:config, שימו את הערך false.
קריאה נוספת:
כצפוי החולשה הזו פוגעת בהרבה יותר מוצרים מאשר כרום, כנראה כל מי שעשה שימוש בספריה WebP הינו פגיע לחולשה (במקרה הזה, Edge מבית מיקרוסופט). לכל מוצר גם יש מנגנוני הגנה שונים (sandbox, aslr וכיוצ"ב) שעלולים להקשות או להפוך את הפריצה לבלתי אפשרית. מומלץ כרגע להיזהר מאוד מכניסה לקישורים (שמכילים תמונות WebP וסרטונים WebM [למרות שלא דווח על הספריה הזו כלום, אבל אני משער בגלל השייכות שלה לאותה משפחה, כנראה שגם בא ישנן חולשות שעדיין לא זוהו]), במיוחד מאנשי קשר שאתם לא מכירים ליעדים שאתם לא מכירים.
קריאה נוספת:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Sep
https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2023-4863
אכן כן, חולשה נמצאה גם ב-libvpx, ספריה שאחראית על פענוח וידיאו (WebM).
מידע נוסף:
https://nvd.nist.gov/vuln/detail/CVE-2023-5217
https://chromium.googlesource.com/webm/libvpx/
https://bugs.chromium.org/p/chromium/issues/detail?id=1486441