Natychmiast zaktualizujcie przeglądarki internetowe, jeśli chcecie uniknąć poważnych kłopotów 

Jeśli to czytacie i jeszcze nie zrobiliście ostatniej aktualizacji przeglądarek Google Chrome, Mozilla Firefox, Brave oraz Microsoft Edge do najnowszych wersji, zróbcie to najlepiej od razu (ja spokojnie poczekam). Sprawa jest poważna i dotyczy nie tylko przeglądarek, ale wszystkich aplikacji używających kodeka o nazwie WebP. Jak duże jest zagrożenie wykrytą właśnie luką? Atakujący może ją wykorzystać do przejęcia zdalnej kontroli nad systemem, wykraść dane lub wprowadzić do niego złośliwe oprogramowanie. Sami przyznacie, że sprawa jest wystarczająco poważna, a poniżej nieco więcej szczegółów w tym konkretnym temacie.
Google Chrome
Google Chrome

Luka oznaczona numerem CVE-2023-4863, o której donosi StackDiary, dotyczy możliwości tzw. przepełnienia bufora sterty (ang. heap buffer overflow) w plikach graficznych formatu WebP. Opracowany przez Google format obrazu oferuje bezstratną i stratną kompresję obrazów w internecie i ma sporo zalet w kontekście rozmiaru i szybkości w porównaniu z formatami takimi jak PNG i JPEG. Z WebP korzystają m.in. popularne przeglądarki. Biblioteki libwep oraz towarzyszącego kodeka używają również takie aplikacje jak Affinity, Gimp, Inkscape, LibreOffice, Telegram, Signal, Thunderbird, ffmpeg, a także międzyplatformowe narzędzia zbudowane przy użyciu środowiska Flutter.

Jak tłumaczą specjaliści ze Stack Diary, komputery używają obszaru pamięci zwanego “stertą” (potocznie pamięcią dynamiczną) do przechowywania określonych rodzajów danych. Jeśli program nie zarządza dobrze tą pamięcią i próbuje umieścić więcej danych w “buforze sterty”, niż jest w stanie obsłużyć. Jeśli potencjalny napastnik wie, że program ma taką lukę, może próbować ją wykorzystać, wysyłając spreparowane dane (np. plik graficzny WebP), który spowoduje, że program zachowa się w nieoczekiwany sposób (np. uruchomić złośliwy kod lub dać dostęp do systemu).

Przeglądarki internetowe mają już stosowne aktualizacje

Dobra wiadomość jest taka, że przedstawiciele najpopularniejszych przeglądarek internetowych na rynku zareagowali sprawnie i dzięki temu możecie już zaktualizować Google Chrome, Mozilla Firefox, Brave oraz Microsoft Edge do najnowszych wersji. Stosowna poprawka pojawiła się również dla klienta pocztowego Mozilla Thunderbird (ponieważ sam go używam, mogę to potwierdzić). Odnośnie pozostałych aplikacji polecam sięgnięcie do odpowiednich repozytoriów (App Store, Google Play) i pobieranie najnowszych wersji jak tylko staną się dostępne.

Czytaj też: Jak zwiększyć cyberbezpieczeństwo? Pomaga technika z kwantowego świata

Jak sprawdzić czy macie już aktualną wersję każdej z przeglądarek, uwzględniającą najnowszą poprawkę? Poniżej krótkie podsumowanie:

  • Google Chrome 116.0.5846.187 (Mac/Linux); 
  • Google Chrome 116.0.5845.187/.188 (Windows);
  • Mozilla Firefox 117.0.1; 
  • Mozilla Firefox ESR 102.15.1; 
  • Mozilla Firefox ESR 115.2.1; 
  • Mozilla Thunderbird 102.15.1; 
  • Mozilla Thunderbird 115.2.2
  • Microsoft Edge 116.0.1938.81;
  • Brave 1.57.64.

Warto przypomnieć, że kilka dni temu poprawki dotyczące tej samej podatności wypuścił również Apple. Dorzucam więc stosowne numerki, żebyście mogli sprawdzić czy macie już najnowszą wersję oprogramowania na swoich urządzeniach: 

  • iOS oraz iPadOS 16.6.1; 
  • macOS 13.5.2;
  • tvOS 16.6;
  • watchOS 9.6.2.