De tempos em tempos, nós do Tecnoblog noticiamos uma falha de segurança e avisamos que é melhor você atualizar um determinado programa. Desta vez, a recomendação é checar se todos os seus navegadores estão com suas respectivas versões mais recentes. O codec do formato de imagens WebP tinha uma brecha que afetava Chrome, Edge, Firefox, Opera e Brave, entre outros.

Ícones de Edge, Firefox, Chrome, Opera e Brave lado a lado
Vários navegadores foram afetados (Imagem: Denny Müller/Unsplash)

O WebP é um formato de imagens para web que permite a criação de arquivos muito menores que JPEG, PNG e GIF. Ele foi desenvolvido pelo Google.

A Apple e o Citizen Lab da Universidade de Toronto encontraram uma falha no codec do WebP, responsável por codificar e decodificar as imagens. Ela recebeu o código de CVE-2023-4863.

Essa vulnerabilidade permitia a uma imagem maliciosa gravar dados em áreas da memória às quais ela não deveria ter acesso. Assim, esse arquivo teria a capacidade de travar programas ou executar comandos sem a permissão do usuário.

Atualize seu navegador (não importa qual seja)

Como o formato WebP é bastante popular na web, essa brecha afetou muitos navegadores.

Uma das “vítimas” foi o Chromium, projeto de código aberto que serve de base para vários browsers, como o próprio Chrome do Google, o Edge da Microsoft, o Brave e o Opera, entre outros. Todos estes receberam atualizações nos últimos dias.

Mesmo quem não usa o Chromium foi afetado. É o caso do navegador Firefox e do cliente de e-mail Thunderbird, ambos da Mozilla. Eles receberam atualizações para consertar a falha de segurança.

Até mesmo programas pouco conhecidos, como o visualizador de imagens Honeyview, precisaram corrigir o problema.

Como a falha foi descoberta nesta terça-feira (12), é possível que outros programas recebam updates nos próximos dias. Seja como for, mais do que nunca, vale aquele bom e velho conselho: sempre mantenha seus apps e sistemas atualizados.

Apple corrigiu outra falha na semana passada

A falha envolvendo o WebP é do tipo zero-day. Isso significa que ela foi descoberta primeiro por atacantes, deixando as empresas responsáveis pelos softwares com “zero dia” para corrigir o problema.

Na última semana, a Apple precisou atualizar os sistemas operacionais de seus aparelhos para corrigir uma vulnerabilidade zero-day. O problema permitia que agentes mal-intecionados instalassem o spyware Pegasus sem precisar nem de um clique do usuário.

Com informações: Chrome Releases, Bleeping Computer, Mozilla Security Advisories, Security Weeks

Falha de segurança afeta Chrome, Firefox, Edge e mais apps