Una grave vulnerabilità nel formato grafico WebP minaccia i browser e le applicazioni
Attualmente esiste una grave vulnerabilità di sicurezza nella libreria di codice "libwebp". Numerosi browser e programmi popolari sono interessati e vulnerabili.
"CVE-2023-4863" è il nome della vulnerabilità che attualmente minaccia molti sistemi. Si trova nella libreria "libwebp", necessaria per il rendering delle immagini WebP. Si tratta di una cosiddetta vulnerabilità "heap buffer overflow". In questo modo i criminali informatici possono introdurre di nascosto del codice maligno nel tuo dispositivo ed eseguirlo da remoto, ad esempio mentre navighi sul web. Questo è noto come "attacco di buffer overflow". Questo può danneggiare un sistema o rubare dati privati. Nel peggiore dei casi, possono anche prendere il controllo del sistema. Come riportato da diverse fonti, ciò è già accaduto.
Semplicemente spiegato: Che cos'è un attacco di "buffer overflow"?
Un "buffer overflow" deve essere inteso in senso letterale. Si verifica quando in una memoria vengono caricati più dati di quanti ne possa fornire il buffer. A causa della vulnerabilità, il programma non è in grado di controllare correttamente i dati che vengono "schiacciati" nel buffer. Questi dati vengono poi trasferiti in altre aree di memoria. Di conseguenza, i dati in queste aree possono essere sostituiti, corrotti o compromessi. Una patch ora garantisce che i programmi controllino correttamente i dati in entrata e che i limiti di memoria siano rispettati.
Quali programmi sono interessati
I software che utilizzano la libreria "libwebp" in questione. In pratica, si tratta di tutti i programmi basati su Chromium o sul framework Electron. Questo vale praticamente per tutti i browser conosciuti (compresi quelli senza Chromium): Chrome, Firefox, Edge, Opera, Vivaldi, Safari e Brave.
Fonte: Florian Bodoky
D'altra parte, anche altri software popolari sono colpiti: Discord, MS Teams o Signal, ma anche Libreoffice o 1Password e molti altri. Non importa quale sistema operativo utilizzi: "libwebp" è utilizzato ovunque.
#
Cosa devo fare?
Qui posso finalmente darti una buona notizia. Esistono già delle patch per i browser basati su Cromo. Quindi è meglio controllare subito se è disponibile un aggiornamento. In caso contrario, lo sarà sicuramente nei prossimi giorni o due. Anche Electron ha già reagito e rilasciato una correzione. Puoi quindi aspettarti che gli sviluppatori di app basate su Electron ti forniscano un aggiornamento ora o nei prossimi giorni. Puoi scoprire quali programmi si appoggiano a Electron qui.
Immagine di copertina:Shutterstock
Da quando ho scoperto come attivare entrambi i canali telefonici sulla scheda ISDN per ottenere una maggiore larghezza di banda, sperimento con le reti digitali. Con quelle analogiche, invece, da quando so parlare. A Winterthur per scelta, con il cuore rossoblu.