De webbrowsers Chrome, Firefox, Microsoft Edge, Brave en Vivaldi zijn kwetsbaar voor een zeroday-exploit rond het WebP image format. Deze kwetsbaarheid zou al actief door hackers worden misbruikt. Inmiddels zijn patches doorgevoerd.
Meerdere webbrowsers zijn kwetsbaar voor de zeer kritieke zeroday-exploit CVE-2023-4863, die door Apple en The Citizen Lab ontdekt werd. Deze kwetsbaarheid treft het zogenoemde WebP image format. Dit door Google ontwikkelde format zorgt voor compressie van videobestanden om de benodigde storagecapaciteit hiervoor te reduceren. Het is eigenlijk een alternatief voor bekende formats als JPEG, PNG en GIF.
Een transformatie van bijvoorbeeld JPEG naar WebP kan ongeveer 30 procent minder opslagruimte opleveren. Hierdoor kunnen websites het (video)bestand makkelijker downloaden. Ook ondersteunt het format zowel statische afbeeldingen als animaties, zodat deze niet meer in aparte formats moeten worden opgeslagen.
Heap buffer overflow mogelijk oorzaak
Over de details van de nu aangetroffen kwetsbaarheid is weinig bekend gemaakt. Meer informatie komt misschien beschikbaar als alle patches in groten getale zijn doorgevoerd.
Volgens Google veroorzaakt de exploit, vooral voor Chromium, onder meer heap buffer overflow in het geheugen. Besturingssystemen wijzen aan browsers en andere applicaties geheugen toe voor hun berekeningen. Dit geheugen wordt weer onderverdeeld in segmenten.
Een heap buffer overflow ontstaat wanneer aan een segment meer data wordt toegewezen dan het aankan. De overtollige data overschrijven dan de informatie die in de naaste segmenten is opgeslagen. Hackers kunnen deze kwetsbaarheid misbruiken door gevoelige componenten van een app of programma met kwaadaardige code te overschrijven.
Patches beschikbaar
Getroffen browsers zijn onder meer Chrome, Firefox, Microsoft Edge, Brave en Vivaldi. Alle aanbieders van de browsers hebben nu patches doorgevoerd die het probleem met het specifieke format oplossen.
Lees ook: Chrome-extensies stelen wachtwoorden in platte tekst