刚刚发现了一个巨大的安全漏洞,该漏洞会影响无数网站和应用程序中使用的WebP 图像,并且可能会让黑客侵入您的计算机并从中提取数据。事实上,谷歌已经看到它在野外被积极利用。因此,尽快修补计算机至关重要。
研究人员 Alex Ivanovs 详细介绍了这一发现,他在博客文章中介绍了该漏洞。目前,它似乎影响了几乎所有最好的网络浏览器,包括 Chrome、Firefox、Edge 和 Brave。 WebP 图像在整个网络中使用,这意味着大量网站和应用程序可能会受到影响。
该漏洞与解释和显示 WebP 图像的编解码器中所谓的堆溢出错误有关。当发送到应用程序“堆”内存的数据多于其设计容纳的数据时,就会出现此溢出错误。这可能会导致恶意代码取代良好代码,从而导致应用程序可能以意外(且可能是恶意)的方式运行。
对于 WebP 文件,攻击者可以创建隐藏恶意软件代码的 WebP 图像。当您查看此图像时,可以执行代码,从而允许攻击者访问您的计算机或窃取存储在计算机上的数据,其中可能包括极其敏感的信息,例如您的密码或信用卡详细信息。
由于 WebP 文件在质量和文件大小方面具有出色的平衡,大量网站使用 WebP 文件,因此可能受到此漏洞影响的用户数量是巨大的。但这并不是这个错误如此严重的唯一原因。
不仅仅是网站
由于该错误影响 WebP 编解码器,因此在许多需要某种方式显示 WebP 图像的应用程序中也发现了该错误。受影响的应用程序包括Telegram 、1Password、Signal、 LibreOffice 、Affinity 设计应用程序套件等等。
其中一些应用程序的开发人员已经开始推出修复程序,1Password、Chrome、Firefox、Edge 和 Brave 都发布了更新。苹果还发布了macOS Ventura的更新,据称修复了该错误。
伊万诺夫斯表示,该漏洞是由苹果安全工程和架构团队以及多伦多大学蒙克学院公民实验室首先报告的。该错误于 2023 年 9 月 6 日提交,标识符为CVE-2023-4863 。
由于此错误的潜在严重性,您应该尽快检查应用程序是否有更新,并确保尽快更新它们。这是保护您的计算机免受此漏洞攻击的最佳方法。