מוקדם יותר בשבוע שעבר נחשפה פרצת אבטחה בקודק WebP הקשור לתמונות, שהשפיעה על יישומים ומערכות הפעלה רבים.
דפדפני אינטרנט נמצאים בסיכון הגבוה ביותר, מכיוון שתמונות WebP נפוצות כיום ברחבי האינטרנט, אך יש לתקן גם יישומים מסוימים התומכים ב- WebP (כגון LibreOffice ו – Telegram) כדי למנוע בעיות אבטחה.
Mozilla פשוט השיקה תיקוני חירום עבור Firefox ו- Thunderbird, וכעת דפדפנים מבוססי Google Chrome ו- Chromium גם הם מתוקנים.
Google Chrome השיק כעת תיקון לפגם האבטחה בערוצים היציבים והמורחבים שלו, החל מגרסה 116.0.5845.187 עבור Mac ו – Linux וגרסאות 116.0.5845.187/188 ב- Windows. אם יש עדכונים ל-Chrome באופן ידני, סביר להניח שהעדכון יימצא ויותקן. אחרת, יש להוריד אותו באופן אוטומטי בשלב כלשהו בימים הקרובים (אם הוא עדיין לא עשה זאת) ותתבקשו להפעיל מחדש את דפדפן האינטרנט. פגיעות האבטחה משפיעה גם על כל הדפדפנים המבוססים על פרויקט Chromium, ולכן מיקרוסופט פרסמה זה עתה את Edge 116.0.1938.81 כדי לתקן את אותו פגם. ויוואלדי ו-Brave Brower משיקים כעת גם הם את התיקון.
לבדוק האם הדפדפן מעודכן יש לעבור להגדרות הדפדפן לחיצה על 3 נקודות וללחוץ על מידע כללי על כרום הגרסה המעודכנת ביותר בכרום כיום היא גרסה 117.0.5938.89 (גרסה רשמית) (64 סיביות). הגרסה המעודכנת ב – Microsoft Edge גרסה 117.0.2045.31 (build רשמי) (64-סיבית) לאחר ביצוע העדכון תתבקשו להפעיל מחדש את הדפדפן.
פגיעות האבטחה (המסומנת כ- CVE-2023-4863) משפיעה על libwebp, אחת הדרכים הנפוצות ביותר עבור יישומים לעבד תמונות WebP. הוא מאפשר לתמונת WebP זדונית לגרום להצפה שעשויה לשמש להשתלטות על המחשב שלנו. גוגל אומרת שהיא מצאה את פגם האבטחה כבר מנוצל, ולכן חשוב לעדכן בהקדם האפשרי.
לא ברור אם דפדפן האינטרנט ספארי של אפל מושפע ישירות — ייתכן שהוא משתמש בשיטה אחרת לעיבוד תמונות WebP. אפל שחררה לאחרונה עדכונים עבור iOS 16, iOS 15, watchOS 9, macOS 11 Big Sur, macOS Monterey 12 ו-macOS 13 Ventura כדי לתקן פגם אבטחה אחר הקשור לתמונות. בעיית אבטחה זו, המכונה CVE-2023-41064, אפשרה גם לבעיית ההצפה להפעיל קוד שרירותי במכשיר. הפרטים הטכניים המדויקים אינם פומביים כדי למנוע מניצול לרעה להיות נפוץ יותר, אך פגם ספציפי זה משפיע רק על מכשירי אפל, עקב פגיעות במסגרת ImageIO המשמשת בתוכנה של אפל.
חשוב מאד לשמור על מחשב ודפדפן מעודכנים וכנ"ל גם על מערכת הפעלה מעודכנת בטלפונים הניידים ובמכשירים דומים.
אני מזמינה אותך להגיב כאן בבלוג ולשתף את חבריך.
אם ברצונך להתייעץ בנושאי מחשבים, אינטרנט וטכנולוגיה, מחפש ליווי טכנולוגי השאר את פרטיך
ואשמח לעזור בהקדם.
