Дата публикации:
Общие сведения
CVE-2023-4863 – уязвимость, связанная с переполнением буфера во время работы с WebP (формат изображения, созданный Google). Этот формат, обеспечивающий высокое качество сжатия изображений, активно применяется в интернете. В случае открытия специально сформированной картинки в формате WebP злоумышленник может выполнить вредоносный код в системе с правами пользователя, запустившего приложение.
Рейтинг
В соответствии с CVSS v3.1 уязвимости присвоен рейтинг: 9.8.
Уязвимые версии и продукты:
- все браузеры на базе движка Chromium (Chrome version <116.0.5845.187);
- Firefox, Thunderbird (Firefox < 117.0.1, Firefox ESR < 115.2.1, Firefox ESR < 102.15.1, Thunderbird < 102.15.1, Thunderbird < 115.2.2);
- все приложения, использующие библиотеку libwebp.
Рекомендации:
- установить с сайта производителя последнюю версию ПО (Chrome, Safari, Opera, Edge, Firefox, Thunderbird и т.п.);
- до обновления браузера можно отключить в нем функционал обработки изображений в формате WebP:
- Chrome:
- в адресной строке ввести chrome://flags;
- в поиске ввести WebP;
- выключить Lens Optimized Image Formats;
- Firefox:
- в адресной строке ввести about:config;
- в поиске ввести WebP;
- отключить image.webp.enabled
- при использовании продукта UserGate NGFW можно создать правило контентной фильтрации, запрещающее Content-Type "image/webp" (необходима настройка дешифровки пользовательского трафика в SSL Inspection).
