Ένα πολύ σημαντικό κενό ασφαλείας εντόπισε ο ερευνητής Alex Ivanovs, το οποίο αφορά τις εικόνες σε WebP format που συναντάμε στην πλειοψηφία των ιστοσελίδων και των εφαρμογών. Λόγω αυτού του προβλήματος, οι hackers θα μπορούσαν να αποκτήσουν πρόσβαση στον υπολογιστή ή την συσκευή του χρήστη και να πάρουν στα χέρια τους σημαντικές προσωπικές πληροφορίες.
Η Google έχει αναγνωρίσει ήδη το πρόβλημα και έχει κυκλοφορήσει patch ασφαλείας για τον Chrome browser, ενώ το ίδιο αναμένεται ότι θα κάνουν (αν δεν το έχουν κάνει ήδη) και οι υπόλοιποι web browsers, όπως Firefox, Edge και Brave.
Το κενό σχετίζεται με ένα συγκεκριμένο κομμάτι κώδικα στο WebP format που επιτρέπει στους hackers να «υπερφορτώσουν» με πληροφορία την μνήμη της εφαρμογής ή της εκάστοτε ιστοσελίδας και αφότου ξεπεραστεί το όριο που μπορούν να διαχειριστούν, τότε τους δίνεται η ευκαιρία να περάσουν δικό τους κακόβουλο κώδικα. Για παράδειγμα, ένας hacker θα μπορούσε να δημιουργήσει μια WebP εικόνα που κρύβει κακόβουλο κώδικα και μόλις ο χρήστης πατήσει για να την δει, τότε τρέχει ο νέος κώδικας που επιτρέπει στον hacker να αποκτήσει πρόσβαση στον υπολογιστή του για να υποκλέψει σχεδόν τα πάντα (π.χ. passwords, πληροφορίες πιστωτικής κάρτας κλπ.).
Πέρα από το γεγονός ότι εκατομμύρια ιστοσελίδες χρησιμοποιούν το WebP format για τις εικόνες που φιλοξενούν, διότι το συγκεκριμένο format προσφέρει μια εξαιρετική ισορροπία μεταξύ ανάλυσης και όγκου του αρχείου, το κενό ασφαλείας που αναλύει ο Alex Ivanovs είναι αρκετά πιο σοβαρό διότι επηρεάζει πολυχρησιμοποιημένες εφαρμογές όπως τα Telegram, 1Password, Signal, LibreOffice και Affinity.
Η πλειοψηφία των εφαρμογών και web browsers έχουν κυκλοφορήσει ήδη patches ασφαλείας, γι’ αυτό καλό θα είναι να ελέγξετε αν αυτές που χρησιμοποιείτε βρίσκονται στην τελευταία έκδοση τους.
[via]
