Un enorme bug di sicurezza che riguarda le immagini WebP, un formato ampiamente utilizzato su siti web e app, è stata scoperta, sollevando seri timori per la sicurezza degli utenti. Questa minaccia potrebbe consentire a hacker malintenzionati di infiltrarsi nei computer e accedere ai dati degli utenti, con Google che già ha riscontrato un attivo sfruttamento di questo bug.
La scoperta di questa nuova minaccia è stata fatta da Alex Ivanovs e dettagliata in un post sul suo blog. Attualmente, sembra che il problema coinvolga la stragrande maggioranza dei principali browser web, tra cui Chrome, Firefox, Edge e Brave.
La gravità di questa vulnerabilità è amplificata dal fatto che un grande un numero di siti utilizza il formato WebP grazie al suo equilibrio tra qualità e dimensioni dei file. Di conseguenza, un vasto numero di utenti potrebbe essere a rischio. Tuttavia, non è solo la diffusione che la rende preoccupante.
L’exploit è legato a un “heap overflow bug” in un codec che interpreta e visualizza le immagini WebP. Questo tipo di bug si verifica quando vengono inviati più dati di quelli che la memoria “heap” di un’applicazione può gestire, consentendo al codice dannoso di sovrascrivere il codice legittimo. Questo può portare a comportamenti imprevisti e potenzialmente dannosi delle applicazioni.
Per quanto riguarda i file WebP, un aggressore potrebbe nascondere del codice malware all’interno di un’immagine WebP. Quando un utente visualizza tale immagine, il codice potrebbe essere eseguito, aprendo la porta a intrusioni nel computer dell’utente o al furto di dati sensibili, come password o informazioni sulla carta di credito.
Poiché il bug riguarda un codec WebP, si trova anche in molte applicazioni che richiedono la visualizzazione di immagini WebP, tra cui Telegram, 1Password, Signal, LibreOffice, la suite di applicazioni di design Affinity e molte altre.
Gli sviluppatori di molte di queste app stanno già rilasciando patch e aggiornamenti per risolvere il problema: 1Password, Chrome, Firefox, Edge e Brave hanno rilasciato aggiornamenti. Apple ha anche pubblicato un aggiornamento di macOS Ventura che presumibilmente risolve questo bug.
Ivanovs ha afferma che la vulnerabilità è stata segnalata per la prima volta dal team Security Engineering and Architecture di Apple, insieme al Citizen Lab della Munk School dell’Università di Toronto, il 6 settembre 2023 e contrassegnata dall’identificativo CVE-2023-4863.
Per proteggere i propri sistemi da questa minaccia potenzialmente grave, è fondamentale verificare la disponibilità di aggiornamenti per le applicazioni coinvolte e applicarli il più rapidamente possibile.
https://sicurezza.net/cyber-security/bug-immagini-webp-hacker-violano-siti-app/