Компания Google повторно опубликовала информацию о критической уязвимости, уточнив, что она затрагивает тысячи отдельных приложений и программных фреймворков, а не только браузер Chrome.
Уязвимость кроется в кодовой библиотеке libwebp, созданной Google в 2010 году для рендеринга изображений в формате webp. Этот формат широко используется в приложениях, операционных системах и библиотеках кода. Первоначально компания Google выпустила сообщение о безопасности, в котором ошибочно отнесла уязвимость только к Chrome.
Уязвимость позволяет злоумышленникам выполнять вредоносный код при просмотре «заминированного» webp-изображения.
В новом сообщении Google, которое отслеживается как CVE-2023-5129, в качестве поставщика и ПО, подверженного уязвимости, правильно указан libwebp. Оценка серьезности была повышена с 8,8 до 10 из 10.
Несмотря на раскрытие информации, многие приложения, включая Microsoft Teams, остаются непропатченными.