Google e Mozilla hanno rilasciato una patch di emergenza per la vulnerabilità presente nella libreria WebP. Il problema di sicurezza riguarda però un numero maggiore di software (non solo browser). Gli utenti devono quindi installare al più presto tutti gli aggiornamenti disponibili.
Attenzione alle immagini WebP
La vulnerabilità, indicata con CVE-2023-4863, può essere sfruttata per generare un “heap buffer overflow” nel processo del contenuto. Ciò consente di eseguire codice arbitrario sul computer. Il problema è quindi piuttosto serio. Ecco perché gli utenti devono subito aggiornare tutti i software interessati, considerato che sono stati rilevati attacchi in corso.
La vulnerabilità, scoperta dai ricercatori di Apple Security Engineering and Architecture (SEAR) e del Citizen Lab dell’università di Toronto, è presente nella libreria libwebp
che consente il rendering (visualizzazione) delle immagini WebP. Il buffer overflow nell’area di memoria denominata heap viene causato quando l’utente apre un’immagine WebP creata ad hoc. Un malintenzionato riesce quindi ad accedere al computer ed eseguire codice infetto.
La vulnerabilità è stata corretta in Firefox 117.0.1, Thunderbird 102.15.1/115.2.2, Chrome 116.0.5846.187 per macOS e Linux, Chrome 116.0.5845.187/.188 per Windows, Edge 116.0.1938.81 e Brave 1.57.64.
Come detto, il problema interessa tutti i software che usano la libreria libwebp per il rendering delle immagini WebP, tra cui quelli basati su Electron: Signal, Telegram, Affinity, Gimp, Inkscape, LibreOffice, ffmpeg, 1Password per Mac e molte app Android. Gli utenti devono quindi verificare la disponibilità di aggiornamenti per tutti i software installati su computer, smartphone e tablet.