חוקרי אבטחה איתרו פרצת אבטחה חדשה וחמורה במיוחד מסוג heap buffer overflow (“הצפת זיכרון ערימה”) בספריית ה-libwebp שנועדה לעבד תמונות WebP.
הפרצה זכתה לקוד הזיהוי CVE-2023-4863 ומשפיעה על טווח רחב של תוכנות, מדפדפני אינטרנט כמו כרום ומוזילה ועד אפליקציות כמו טלגרם, מערכת האנדרואיד ועוד.
תוקפים דרך התמונות
נראה כי תמונות הפכו להיות וקטורי תקיפה פופולריים של גורמים זדוניים, המצליחים לאתר לא פעם באגים בספריות שנועדו לעבד תמונות, בדומה לפרצת ה-BLASTPASS במכשירי אפל.
הפעם אותרה הפרצה בקודק ה-WebP על ידי חוקרי אבטחה ב-Citizen Lab וצוות האבטחה של אפל SEAR (ר”ת Apple Security Engineering and Architecture).
WebP הוא פורמט אחסון תמונות נפוץ וחסכוני במיוחד שפותח על ידי גוגל כתחליף לפורמטים דוגמת JPG ומ-PNG, כאשר בדומה לכל פורמט יעודי קיימת ספרייה תואמת, במקרה הזה libwebp, שנועדה לאפשר למערכת לקרוא ולהציג את התמונה שמגיעה בפורמט ה-WebP.
בניגוד לפרצת ה-BLASTPASS שפגעה במכשירי אפל בלבד, פרצת ה-CVE-2023-4863 משפיעה על טווח גדול בהרבה יותר של מוצרים לאור הפופולריות של פורמט אחסון התמונות, מה שגורם לה להשפיע לא רק על דפדפנים, אלא גם על אפליקציות נוספות כמו טלגרם, המשתמשות בפורמט זה לאחסון התמונות.
תוקפים זדוניים יכולים לנצל את הפרצה החדשה שאותרה ב-libwebp על מנת “להציף” את זיכרון הערימה במכשיר הרלוונטי ולדחוס לתוכו יותר מידע ממה שהוא יכול להכיל, דבר המאפשר למעשה לתוקפים להריץ קוד זדוני על מנת לגנוב מידע, להשתיל נוזקות או לקבל גישה למערכות השונות.
על פי הדיווח הנוכחי, יש סימנים כי נעשה שימוש בפרצה החדשה וחברות רבות בהן גוגל, מוזילה, מיקרוסופט ועוד שחררו עדכונים לתוכנות שלהם על מנת לתקן את פרצת ה-CVE-2023-4863. אנו ממליצים לכם לעדכן באופן מיידי את הדפדפן שלכם ולוודא גם כי תוכנות אחרות מעודכנות וכוללות תיקון לפרצה החדשה.
