Falha de segurança afeta Chrome, Firefox, Edge e mais apps
Vulnerabilidade no codec do formato de imagens WebP dá acesso indevido à memória. Navegadores e outros programas estão recebendo correção.
Vulnerabilidade no codec do formato de imagens WebP dá acesso indevido à memória. Navegadores e outros programas estão recebendo correção.
De tempos em tempos, nós do Tecnoblog noticiamos uma falha de segurança e avisamos que é melhor você atualizar um determinado programa. Desta vez, a recomendação é checar se todos os seus navegadores estão com suas respectivas versões mais recentes. O codec do formato de imagens WebP tinha uma brecha que afetava Chrome, Edge, Firefox, Opera e Brave, entre outros.
O WebP é um formato de imagens para web que permite a criação de arquivos muito menores que JPEG, PNG e GIF. Ele foi desenvolvido pelo Google.
A Apple e o Citizen Lab da Universidade de Toronto encontraram uma falha no codec do WebP, responsável por codificar e decodificar as imagens. Ela recebeu o código de CVE-2023-4863.
Essa vulnerabilidade permitia a uma imagem maliciosa gravar dados em áreas da memória às quais ela não deveria ter acesso. Assim, esse arquivo teria a capacidade de travar programas ou executar comandos sem a permissão do usuário.
Como o formato WebP é bastante popular na web, essa brecha afetou muitos navegadores.
Uma das “vítimas” foi o Chromium, projeto de código aberto que serve de base para vários browsers, como o próprio Chrome do Google, o Edge da Microsoft, o Brave e o Opera, entre outros. Todos estes receberam atualizações nos últimos dias.
Mesmo quem não usa o Chromium foi afetado. É o caso do navegador Firefox e do cliente de e-mail Thunderbird, ambos da Mozilla. Eles receberam atualizações para consertar a falha de segurança.
Até mesmo programas pouco conhecidos, como o visualizador de imagens Honeyview, precisaram corrigir o problema.
Como a falha foi descoberta nesta terça-feira (12), é possível que outros programas recebam updates nos próximos dias. Seja como for, mais do que nunca, vale aquele bom e velho conselho: sempre mantenha seus apps e sistemas atualizados.
A falha envolvendo o WebP é do tipo zero-day. Isso significa que ela foi descoberta primeiro por atacantes, deixando as empresas responsáveis pelos softwares com “zero dia” para corrigir o problema.
Na última semana, a Apple precisou atualizar os sistemas operacionais de seus aparelhos para corrigir uma vulnerabilidade zero-day. O problema permitia que agentes mal-intecionados instalassem o spyware Pegasus sem precisar nem de um clique do usuário.
Com informações: Chrome Releases, Bleeping Computer, Mozilla Security Advisories, Security Weeks