今週初め、 WebP コーデック のセキュリティ脆弱性が明らかになり、多くのアプリケーションやオペレーティング システムに影響を与えました。現在、WebP 画像は Web 上で一般的に使用されているため、Web ブラウザが最も危険にさらされていますが、WebP をサポートする一部のアプリケーション (LibreOffice や Telegram など) にもセキュリティ上の問題を回避するためにパッチを適用する必要があります。 Mozilla は Firefox と Thunderbird の緊急修正を公開した ばかりで、現在 Google Chrome と Chromium ベースのブラウザも修正されています。
Google Chrome は現在、安定版および拡張安定版チャネルでセキュリティ上の欠陥に対するパッチを公開しており、Mac と Linux ではバージョン 116.0.5845.187、Windows ではバージョン 116.0.5845.187/.188 から始まります。 Chrome のアップデートを手動で確認する と、アップデートが見つかってインストールされる可能性があります。それ以外の場合は、(まだダウンロードされていない場合は) 数日以内に自動的にダウンロードされ、Web ブラウザを再起動するよう求められます。このセキュリティ脆弱性は Chromium プロジェクトに基づくブラウザにも影響を与えるため、Microsoft は同じ欠陥を修正するために Edge 116.0.1938.81 をリリースしました。 Vivaldi と Brave Brower も現在修正を公開しています。
このセキュリティ脆弱性 (CVE-2023-4863) は、アプリケーションが WebP 画像をレンダリングする最も一般的な方法の 1 つである libwebp に影響を与えます。これにより、悪意のある WebP イメージがヒープ バッファ オーバーフローを引き起こし、コンピュータを制御するために使用される可能性があります。 Googleは、このセキュリティ上の欠陥が悪用されているのを発見したため、できるだけ早くアップデートすることが重要だと述べている。
Apple の Safari Web ブラウザが直接影響を受けるかどうかは不明です。WebP 画像のレンダリングに別の方法が使用されている可能性があります。 Apple は、画像に関連する別のセキュリティ上の欠陥を修正するために、 iOS 16 、iOS 15、 watchOS 9 、 macOS 11 Big Sur 、 macOS Monterey 12 、および macOS 13 Ventura のアップデートをリリースしました。 CVE-2023-41064 として知られるこのセキュリティ問題により、バッファ オーバーフローの問題が発生し、デバイス上で任意のコードが実行される可能性がありました。エクスプロイトの蔓延を避けるため、正確な技術的詳細は公開されていませんが、Apple のソフトウェアで使用されている ImageIO フレームワークの脆弱性のため、この特定の欠陥は Apple デバイスにのみ影響します。
出典: StackDiary 、 Vivaldi
