Esta exploração massiva permite que hackers invadam aplicativos como Chrome, 1Password e Telegram

gurinho

Acaba de ser descoberto um enorme bug de segurança que afeta imagens WebP usadas em um número incontável de sites e aplicativos e pode permitir que hackers invadam seu computador e extraiam dados dele. Na verdade, o Google já viu isso sendo explorado ativamente em liberdade . Por isso, é essencial que você corrija seu computador o mais rápido possível.

A descoberta foi detalhada pelo pesquisador Alex Ivanovs, que escreveu sobre o bug em um blog . No momento, parece afetar quase todos os melhores navegadores da web , incluindo Chrome, Firefox, Edge e Brave. As imagens WebP são usadas em toda a web, o que significa que um grande número de sites e aplicativos podem ser afetados.

Uma mão misteriosa e sombria digitando em um laptop à noite.

A exploração está relacionada ao que é chamado de bug de heap overflow em um codec que interpreta e exibe imagens WebP. Esse bug de estouro ocorre quando mais dados são enviados para a memória “heap” de um aplicativo do que ele foi projetado para armazenar. Isso pode permitir que códigos nefastos substituam códigos bons, fazendo com que os aplicativos possam se comportar de maneiras inesperadas – e potencialmente maliciosas.

No caso de arquivos WebP, um invasor pode criar uma imagem WebP que oculta o código do malware. Ao visualizar esta imagem, o código pode ser executado, permitindo que o invasor obtenha acesso ao seu computador ou roube dados armazenados nele, o que pode incluir informações extremamente confidenciais, como senhas ou detalhes de cartão de crédito.

Um grande número de sites usa arquivos WebP devido ao seu excelente equilíbrio entre qualidade e tamanho de arquivo, portanto, o número de usuários que podem ser afetados por essa exploração é enorme. Mas não é só isso que torna esse bug tão sério.

Não apenas sites

Um grande monitor exibindo um aviso de violação de segurança.

Como o bug afeta um codec WebP, ele também é encontrado em muitos aplicativos que precisam de uma forma de exibir imagens WebP. Os aplicativos afetados incluem Telegram , 1Password, Signal, LibreOffice , o conjunto Affinity de aplicativos de design e muitos mais.

Os desenvolvedores de vários desses aplicativos começaram a lançar correções, com 1Password, Chrome, Firefox, Edge e Brave lançando atualizações. A Apple também publicou uma atualização para o macOS Ventura que supostamente corrige o bug.

Ivanovs diz que a vulnerabilidade foi relatada pela primeira vez pela equipe de Engenharia e Arquitetura de Segurança da Apple, em conjunto com o Citizen Lab da Munk School da Universidade de Toronto. O bug foi enviado em 6 de setembro de 2023 e possui o identificador CVE-2023-4863 .

Devido à gravidade potencial desse bug, você deve verificar se há atualizações em seus aplicativos o mais rápido possível e atualizá-los o mais rápido possível. Essa é a melhor maneira de manter seu computador protegido contra essa exploração.