O WebP é um formato de imagens para web que permite a criação de arquivos muito menores que JPEG, PNG e GIF. Ele foi desenvolvido pelo Google.
A Apple e o Citizen Lab da Universidade de Toronto encontraram uma falha no codec do WebP, responsável por codificar e decodificar as imagens. Ela recebeu o código de CVE-2023-4863.
Essa vulnerabilidade permitia a uma imagem maliciosa gravar dados em áreas da memória às quais ela não deveria ter acesso. Assim, esse arquivo teria a capacidade de travar programas ou executar comandos sem a permissão do usuário.
Atualize seu navegador (não importa qual seja)
Como o formato WebP é bastante popular na web, essa brecha afetou muitos navegadores.
Uma das “vítimas” foi o Chromium, projeto de código aberto que serve de base para vários browsers, como o próprio Chrome do Google, o Edge da Microsoft, o Brave e o Opera, entre outros. Todos estes receberam atualizações nos últimos dias.
Mesmo quem não usa o Chromium foi afetado. É o caso do navegador Firefox e do cliente de e-mail Thunderbird, ambos da Mozilla. Eles receberam atualizações para consertar a falha de segurança.
Até mesmo programas pouco conhecidos, como o visualizador de imagens Honeyview, precisaram corrigir o problema.
Como a falha foi descoberta nesta terça-feira (12), é possível que outros programas recebam updates nos próximos dias. Seja como for, mais do que nunca, vale aquele bom e velho conselho: sempre mantenha seus apps e sistemas atualizados.
Apple corrigiu outra falha na semana passada
A falha envolvendo o WebP é do tipo zero-day. Isso significa que ela foi descoberta primeiro por atacantes, deixando as empresas responsáveis pelos softwares com “zero dia” para corrigir o problema.
Na última semana, a Apple precisou atualizar os sistemas operacionais de seus aparelhos para corrigir uma vulnerabilidade zero-day. O problema permitia que agentes mal-intecionados instalassem o spyware Pegasus sem precisar nem de um clique do usuário.
Com informações: Chrome Releases, Bleeping Computer, Mozilla Security Advisories, Security Weeks
Falha de segurança afeta Chrome, Firefox, Edge e mais apps
You must be logged in to post a comment.