Nieważne jaką masz przeglądarkę - musisz ją natychmiast zaktualizować
Chrome, Edge, Firefox, Brave i wiele innych. Wszystkie zawierają poważną usterkę w swoich zabezpieczeniach, związaną z obsługą grafik WebP. Na szczęście są też i dobre wieści.
Usterka opisana jako CVE-2023-4863 powoduje przepełnienie bufora sterty (heap buffer overflow) i dotyczy biblioteki libwebp używanej przez wiele przeglądarek do wyświetlania grafik w formacie WebP. Owa biblioteka znajduje się, między innymi, w przeglądarkach Chrome, Edge, Brave i Firefox. Ma też zastosowanie w niektórych innych aplikacjach, używających silników webowych do wyświetlania swojego interfejsu - w tym aplikacje Gimp, Thunderbird i Telegram.
Wspomniane przepełnienie bufora pozwala cyberprzestępcy na przejęcie kontroli nad atakowanym urządzeniem, w tym na kradzież danych czy instalację złośliwego oprogramowania. Na szczęście reakcja większości twórców aplikacji była natychmiastowa - choć trudno się dziwić, usterka ma charakter zero-day, co oznacza, że część cyberprzestępców już wie jak z niej korzystać.
Ważne informacje o bezpieczeństwie twoich danych i pieniędzy:
Poważna luka bezpieczeństwa w popularnych przeglądarkach. W tym w Chrome, Firefox i Edge.
Apple załatał już swoje systemy i jego urządzenia nie są podatne, pod warunkiem, że działają pod kontrolą najnowszej dostępnej wersji swojego systemu. Załatane też już zostały wszystkie wymienione w artykule przeglądarki internetowe - aktualizacja w nich przebiega automatycznie i nie wymaga potwierdzania przez użytkownika, chyba że ten świadome wyłączył ów automat.
Załatane wersje przeglądarek to:
- Chrome 116.0.5846.187 (Mac / Linux); Chrome 116.0.5845.187/.188 (Windows)
- Firefox 117.0.1; Firefox ESR 102.15.1; Firefox ESR 115.2.1; Thunderbird 102.15.1; Thunderbird 115.2.2
- Microsoft: Edge 116.0.1938.81
- Brave 1.57.64
Dostępna jest też aktualizacja dla aplikacji Affinity, Gimp, LibreOffice i Telegram. Warto też sprawdzić aplikacje Microsoft Store, Apple App Store i Sklep Play i sprawdzić, czy nie czekają na użytkownika jakieś aktualizacje. Jeżeli tak - należy je zastosować, gdyż niektóre łatki prawdopodobnie dotyczą omawianej tu usterki CVE-2023-4863.