Cyber błędy w programach

[wrotycz]

Cyber błędy

 

Zwykle tego nie robię i nie wrzucam tu informacji o błędach oprogramowania bo "kogo to obchodzi?". Tym razem jednak obchodzi, a przynajmniej powinno, bo w bibliotece libwebp pojawił sie bardzo poważny błąd CVE-2023-4863: Heap buffer overflow in libwebp, polegający na przepełnieniu bufora stotu. Błąd może mieć dość poważne konsekwencje bo może być wykorzystany bez wiedzy, zgody i żadnej interakcji ze strony użytkownika - wystarczy odpowiednio spreparowany obrazek "webp" żeby potencjalnie wywalić program lub może nawet wykonać zewnętrzny kod. Jako, że błąd jest nowy (ma 7 dni) i został zauważony u źródła, żaden exploit nie został jeszcze wykryty na wolności. Błąd został już naprawiony w bibliotece, w Firefoksie i Chromium ale mogą się pojawić eksploity wykorzystujące go, liczące na to, że nie masz zaktualizowanej przeglądarki.
Dlatego zalecam to zrobić teraz.

Co zaskakujące, Nikt o tym błędzie nie pisze choć jest potencjalnie bardzo niebezpieczny. Jedyne co ratuje maluczkich to fakt, że błąd jest znany od tygodnia i odpowiednie spreparowanie takiego obrazka jest nietrywialne ale jeśli jest szansa na wykonanie kodu to exploit pojawi się na pewno.

PS. Zakładam taki a nie inny tytuł w razie gdyby się przyszłości coś poważnego znalazło i ktoś, niekoniecznie ja, chciał o tym poinformować.