È stato appena scoperto un enorme bug di sicurezza che colpisce le immagini WebP utilizzate in un numero indicibile di siti Web e app e potrebbe potenzialmente consentire agli hacker di entrare nel tuo computer ed estrarne dati. In effetti, Google lo ha già visto attivamente sfruttato in natura. Per questo motivo, è essenziale patchare il tuo computer il prima possibile.
La scoperta è stata dettagliata dal ricercatore Alex Ivanovs, che ha scritto del bug in un post sul blog. Al momento sembra che colpisca quasi tutti i migliori browser Web, inclusi Chrome, Firefox, Edge e Brave. Le immagini WebP vengono utilizzate in tutto il Web, il che significa che un numero enorme di siti e app potrebbero essere interessati.
L’exploit si riferisce a quello che viene chiamato bug di overflow dell’heap in un codec che interpreta e visualizza le immagini WebP. Questo bug di overflow si verifica quando alla memoria “heap” di un’app vengono inviati più dati di quelli che è progettata per contenere. Ciò può consentire al codice dannoso di sostituire il codice buono, con il risultato che le app possono comportarsi in modi imprevisti e potenzialmente dannosi.
Nel caso dei file WebP, un utente malintenzionato potrebbe creare un’immagine WebP che nasconde il codice malware. Quando visualizzi questa immagine, il codice potrebbe essere eseguito, consentendo all’aggressore di accedere al tuo computer o rubare i dati archiviati su di esso, che potrebbero includere informazioni incredibilmente sensibili come password o dettagli della carta di credito.
Un numero enorme di siti Web utilizza file WebP grazie al loro eccellente equilibrio tra qualità e dimensioni dei file, quindi il numero di utenti che potrebbero essere colpiti da questo exploit è enorme. Ma non è l’unica cosa che rende questo bug così serio.
Un monitor di grandi dimensioni che visualizza un avviso di violazione della sicurezza da parte di hacker.
Deposito stock / Getty Images
Poiché il bug interessa un codec WebP, si trova anche in molte app che necessitano di un modo per visualizzare le immagini WebP. Le app interessate includono Telegram, 1Password, Signal, LibreOffice, la suite di app di progettazione Affinity e molte altre.
Gli sviluppatori di molte di queste app hanno iniziato a implementare correzioni, con 1Password, Chrome, Firefox, Edge e Brave che hanno rilasciato aggiornamenti. Apple ha anche pubblicato un aggiornamento per macOS Ventura che presumibilmente risolve il bug.
Ivanovs afferma che la vulnerabilità è stata segnalata per la prima volta dal team Security Engineering and Architecture di Apple, insieme a The Citizen Lab presso la Munk School dell’Università di Toronto. Il bug è stato inviato il 6 settembre 2023 e ha l’identificatore CVE-2023-4863.
A causa della potenziale gravità di questo bug, dovresti controllare gli aggiornamenti delle tue app il prima possibile e assicurarti di aggiornarle il più rapidamente possibile. Questo è il modo migliore per proteggere il tuo computer da questo exploit.