Google Chrome’da kritik önem derecesine sahip bir sıfır gün güvenlik açığı keşfedildi ve yaygın bir istismarın gözlemlenmesinin ardından acil bir Chrome 116 güvenlik güncellemesinde yama uygulandı.
Güvenlik açığı “WebP’de yığın arabellek taşması” olarak bildirildi. Yığın arabellek taşmaları, bir uygulama bir bellek arabelleği için arabelleğin tutabileceğinden daha fazla veri yazdığında meydana gelir; bu, uygulamanın çökmesine neden olarak rastgele kod yürütme olasılığına yol açabilir. Bu arada WebP, “Web’deki görüntüler için üstün kayıpsız ve kayıplı sıkıştırma sağlayan” bir görüntü formatıdır; bu, Web geliştiricilerinin onu JPEG ve PNG formatlı görüntülere kıyasla daha küçük ve daha zengin görüntüler oluşturmak için kullanabileceği anlamına gelir. Bu da Web’in daha hızlı çalışmasına olanak tanır. WebP görüntüleri Chrome, Firefox, Safari, Edge ve Opera gibi çoğu modern tarayıcı tarafından desteklenir.
Sorun, Apple Güvenlik Mühendisliği ve Mimarisi (SEAR) ve casus yazılım gözlemcisi The Citizen Lab tarafından 6 Eylül’de bildirildi ve Google, bu haftaki danışma belgesinde, hataya yönelik bir istismarın (CVE-2023-4863 olarak izlenen) farkında olduğunu bildirdi. – vahşi doğada mevcut. Aktif kampanyaların niteliği hakkında ayrıntılı bilgi verilmedi.