O Google lançou uma atualização urgente para o navegador Chrome que corrige uma vulnerabilidade que foi apontada à empresa por especialistas do Citizen Lab da Universidade de Toronto (Canadá). A vulnerabilidade está relacionada ao formato de imagem WebP e é conhecida por ser explorada por cibercriminosos.
A vulnerabilidade crítica numerada CVE-2023-4863 é devido a um buffer overflow no processamento WebP. Este formato de imagem foi desenvolvido pelo próprio Google – é usado ativamente na Internet, proporcionando compactação eficaz sem e com perda de qualidade. Infelizmente, os distribuidores de malware encontraram uma vulnerabilidade associada a este formato aberto.
WebP é compatível com vários navegadores baseados em Chromium, incluindo Edge, Opera e Vivaldi, bem como editores de imagens. O Google disse que ainda não publicará detalhes sobre a vulnerabilidade identificada – a empresa terá que esperar até que o Chrome seja atualizado para a maioria dos usuários. Porém, o assunto não para por aí: o desenvolvedor ficará em silêncio por algum tempo caso descubra que a vulnerabilidade afetou a biblioteca de processamento WebP, que é utilizada em outros projetos.
Entre os desenvolvedores de navegadores de terceiros, apenas um representante do projeto Vivaldi comentou – afirmou que o projeto monitora de perto a base do Chromium e toma medidas urgentes ao lançar atualizações de segurança, às vezes respondendo no mesmo dia. Quanto à natureza da vulnerabilidade, explorações de buffer overflow normalmente causam falha no software ou permitem a execução de código arbitrário.