数え切れないほどの Web サイトやアプリで使用されている WebP 画像 に影響を与える大規模なセキュリティ バグが発見されました。このバグにより、ハッカーがコンピュータに侵入してデータを抽出できる可能性があります。実際、Google はこれが 実際に活発に悪用されている ことをすでに確認しています。そのため、できるだけ早くコンピュータにパッチを適用することが重要です。
この発見については、研究者の Alex Ivanovs が詳しく説明しており、 ブログ投稿 でこのバグについて書いています。現時点では、Chrome、Firefox、Edge、Brave など、ほとんどすべての 最高の Web ブラウザ に影響があるようです。 WebP 画像は Web 全体で使用されているため、膨大な数のサイトやアプリが影響を受ける可能性があります。
このエクスプロイトは、WebP 画像を解釈して表示するコーデックにおけるいわゆるヒープ オーバーフロー バグに関連しています。このオーバーフロー バグは、アプリの「ヒープ」メモリに保持できるように設計されているよりも多くのデータが送信されたときに発生します。これにより、悪意のあるコードが善良なコードに置き換わる可能性があり、その結果、アプリが予期しない、そして潜在的に悪意のある方法で動作する可能性があります。
WebP ファイルの場合、攻撃者はマルウェア コードを隠す WebP イメージを作成する可能性があります。この画像を表示すると、コードが実行され、攻撃者がコンピュータにアクセスしたり、コンピュータに保存されているデータを盗んだりする可能性があります。このデータには、パスワードやクレジット カードの詳細などの非常に機密情報が含まれている可能性があります。
品質とファイル サイズの優れたバランスにより、膨大な数の Web サイトが WebP ファイルを使用しているため、このエクスプロイトの影響を受ける可能性のあるユーザーの数は膨大になります。しかし、このバグを深刻にしているのはそれだけではありません。
ウェブサイトだけではありません
このバグは WebP コーデックに影響するため、WebP 画像を表示する方法を必要とする多くのアプリでも見つかります。影響を受けるアプリには、 Telegram 、 1Password 、 Signal 、 LibreOffice 、デザイン アプリの Affinity スイートなどが含まれます。
これらのアプリのいくつかの開発者は修正の展開を開始しており、1Password、Chrome、Firefox、Edge、Brave はアップデートを発行しています。 Apple は、おそらくバグを修正する macOS Ventura のアップデートも公開しました。
Ivanovs氏によると、この脆弱性はAppleのセキュリティエンジニアリングおよびアーキテクチャチームとトロント大学マンクスクールのThe Citizen Labが最初に報告したという。このバグは 2023 年 9 月 6 日に提出され、識別子 CVE-2023-4863 が付けられました。
このバグは深刻な可能性があるため、できるだけ早くアプリのアップデートを確認し、できるだけ早くアップデートするようにしてください。これが、このエクスプロイトからコンピュータを守る最善の方法です。