Webp képformátum sérülékenysége
A Google csendben nyilvánosságra hozott egy kritikus kódvégrehajtási sérülékenységet, amely több ezer egyedi alkalmazást és szoftverkeretet érint. A sérülékenység a libwebp kódkönyvtárból származik, amelyet a Google 2010-ben hozott létre a képek webp-ben való megjelenítésére, egy akkor még új formátumban, amely akár 26 százalékkal kisebb fájlokat eredményezett, mint a PNG-képek. A Libwebp szinte minden olyan alkalmazásba, operációs rendszerbe vagy más kódkönyvtárba beépül, amely webp képeket jelenít meg, különösen a Chrome-ban használt Electron keretrendszerben és sok más alkalmazásban, amelyek asztali és mobileszközökön egyaránt futnak.
Két héttel ezelőtt a Google biztonsági figyelmeztetést adott ki a Chrome-ban állítólagos kupacpuffer túlcsordulás miatt. A Google CVE-2023-4863 jelű hivatalos leírása az érintett szállítót Google-ként, az érintett szoftvert Chrome-ként jelölte meg, bár a libwebp-t használó bármely kód sebezhető volt. A kritikusok arra figyelmeztettek, hogy ha a Google nem veszi észre, hogy több ezer más kódrészlet is sebezhető, szükségtelen késleltetést okozna a sérülékenység javításában, amely lehetővé teszi a támadók számára, hogy rosszindulatú kódokat hajtsanak végre.
A Google kiadta a CVE-2023-5129 jelzésű sérülékenység adatait, ahol helyesen sorolja fel a libwebp-t érintett szállítóként és érintett szoftverként. A sebezhetőség súlyossági besorolását is felemeli, a lehetséges 8,8-ról 10-re.