A vulnerabilidade recentemente divulgada existe na biblioteca de códigos WebP conhecida como libwebp, que codifica e decodifica imagens no formato WebP amplamente utilizado. Conhecida geralmente como “heap buffer overflow”, a falha pode ser explorada usando uma imagem maliciosa especialmente criada, permitindo que um invasor execute código malicioso em um dispositivo alvo. O Google afirma que o problema já foi bem explorado. O Banco de Dados de Vulnerabilidade do NIST afirma que esta vulnerabilidade está atualmente em análise e nem todas as informações estão disponíveis e classifica a gravidade de segurança do Chromium como crítica: o estouro de buffer de heap no WebP no Google Chrome antes de 116.0.5845.187 permitiu que um invasor remoto executasse uma gravação de memória fora dos limites por meio de uma página HTML criada.
A menos que você tenha atualizado seu navegador nos últimos dias, provavelmente ele contém uma falha crítica.
A vulnerabilidade chamada de CVE-2023-4863 foi revelada, atingindo diversos browsers e expondo uma quantidade massiva de malwares em computadores de todo o planeta. A falha vem diretamente do libwebp, uma biblioteca codificada que renderiza imagens no formato “WebP” – utilizado por diversos sites e uma das favoritas dos criadores de conteúdo pela sua capacidade de compressão sem perder a qualidade. Apesar de não revelarem como ela conseguiu afetar o software principal, ela está sendo utilizada para inserir códigos maliciosos nos dispositivos que conseguiu alcançar.
Identificado como uma vulnerabilidade de dia zero no navegador Chrome do Google, o bug libwebp afeta navegadores criados com Chromium, o que significa Chrome, Firefox da Mozilla, Microsoft Edge, Opera, Brave e muito mais. Também afeta aplicativos como Telegram, 1Password, Thunderbird e Gimp. Patches para a falha estão sendo lançados, então fique atento às atualizações.
Foram as equipes da Apple Security Engineering and Architecture (SEAR) e do Citizen Lab da Munk School da Universidade de Toronto que detectaram e relataram esta vulnerabilidade em 6 de setembro de 2023.
Se você for usuário do Chrome, atualize para a versão 116.0.5845.187/.188 (Windows) ou 116.0.5845.187 (macOS e Linux) para se proteger contra possíveis ameaças.