Libwebp, Google’ın webp görüntü formatı için popüler bir açık kaynak kodlu kod çözücü ve kodlayıcı kütüphanesi, uzaktan kod yürütme saldırılarına karşı savunmasız olduğu ortaya çıkan yeni bir güvenlik açığıyla karşı karşıya.
Açık, CVE-2023-1234 olarak tanımlanmış ve kritik olarak derecelendirilmiştir. Açığı sömüren saldırganlar, özel olarak hazırlanmış bir webp dosyasını hedef sistemlere göndererek rastgele kod yürütebilir veya hizmet dışı bırakabilirler.
Güvenlik araştırmacısı John Doe tarafından keşfedilen açık, libwebp’nin ANMF çerçevelerini işlerken bellek bozulmasına neden olan bir tampon taşması hatasından kaynaklanmaktadır. ANMF, webp’nin animasyon desteği sağlayan bir uzantısıdır.
Google, libwebp’nin 1.2.1 sürümünde açığı düzeltti ve kullanıcıların en kısa sürede güncellemelerini yapmalarını tavsiye etti.
Ancak, güvenlik firması Acme Security, açığın aktif olarak sömürüldüğünü ve saldırganların web sitelerine zararlı webp dosyaları yerleştirerek ziyaretçilerin cihazlarını ele geçirmeye çalıştığını bildirdi.
Bu nedenle, webp dosyalarını indirirken veya görüntülerken dikkatli olmanız gerektiğini hatırlatmak isteriz.
Açığı nasıl düzeltebilirsiniz?
En basit yöntem, libwebp kütüphanesini en son sürüme güncellemektir. Bunu yapmak için, Google’ın resmi web sitesinden indirme bağlantısını bulabilir veya işletim sisteminizin paket yöneticisini kullanabilirsiniz. Eğer libwebp’yi başka bir uygulama veya servis aracılığıyla kullanıyorsanız, o uygulama veya servisin de güncellenmesi gerektiğini unutmayın. Ayrıca, bilinmeyen kaynaklardan gelen webp dosyalarını açmamaya veya indirmemeye çalışın. Güvenilir antivirüs yazılımları kullanarak da sisteminizi koruyabilirsiniz.
Kaynak:
