Google исправила информацию о критической ошибке WebP

Администрация Google повторно выпустила сообщение о критической уязвимости выполнения кода, затрагивающей тысячи отдельных приложений и программных платформ. Предыдущее сообщение создавало ошибочное впечатление, что угроза затронула только браузер Chrome.

Google исправила информацию о критической ошибке WebP. Фото: из архива компании

Уязвимость возникает в библиотеке кода libwebp, которую разработчики Google создали в 2010 году для рендеринга изображений в webp — новом на тот момент формате, в результате которого файлы были на 26 процентов меньше по сравнению с изображениями PNG.

Libwebp включена практически в каждое приложение, операционную систему или другую библиотеку кода, которая отображает изображения WebP, в первую очередь в платформу Electron. Она используется в Chrome и многих других приложениях, которые работают как на настольных, так и на мобильных устройствах.

Две недели назад в Google выпустили рекомендации по безопасности, связанные с переполнением буфера в WebP в Chrome. В официальном описании Google CVE-2023-4863, затронутый поставщик указан как «Google», а затронутое программное обеспечение — как «Chrome», хотя любой код, использующий libwebp, был уязвим.

Критики предупредили, что неспособность специалистов Google обратить внимание на то, что тысячи других фрагментов кода также уязвимы, приведет к опасным задержкам в исправлении уязвимости. Она позволяет злоумышленникам выполнять вредоносный код после просмотра пользователем зараженного изображения WebP.

Теперь администрация Google опубликовала новое сообщение. В нем правильно указано, что libwebp является затронутым поставщиком и затронутым программным обеспечением. Это также повышает уровень серьезности уязвимости с 8,8 лр максимальных 10 баллов.

Как ранее сообщал Startpack, после того, как уязвимость была обнаружена, множество программ остаются неисправленными. Самый яркий пример — Microsoft Teams.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме