Praticamente tutti gli sviluppatori dei browser Internet più utilizzati hanno rilasciato aggiornamenti di sicurezza per risolvere una grave vulnerabilità WebP, una falla che permette agli attaccanti di eseguire codice arbitrario e prendere controllo del computer dell’utente a distanza: update caldamente raccomandati a tutti gli utenti per Google Chrome, Mozilla Firefox, Microsoft Edge e anche Brave.
Apple ha già risolto la falla WebP
Lo stesso problema di sicurezza è già stato tempestivamente rilasciato da Apple negli scorsi giorni, anche se Cupertino indica un numero di vulnerabilità diverso da quello preso di mira nella catena di aggiornamenti dei browser ora in rilascio. Sembra che la stessa falla o una molto simile permetteva il funzionamento dello spyware Pegasus che si installa senza alcun intervento dell’utente e controlla ogni aspetto di iPhone.
Perché può colpire altri software
La brutta notizia infatti è che questa vulnerabilità è in circolazione da tempo ed è già stata sfruttata: secondo la classificazione di NIST si tratta di una falla grave. Il problema è che la falla riguarda il codice impiegato per effettuare il render delle immagini in formato WebP, ampiamente utilizzato su Internet ma anche da diversi software e utility molto diffusi.
Nel flusso degli aggiornamenti in fase di rilascio ci sono anche Signal e Honeyview, come segnala Stackdiary. Purtroppo si teme che il problema possa interessare numerosi altri software, tra cui LibreOffice, Telegram, Gimp, Affinity, diverse app Android e altri ancora.
Browser già aggiornati
Qui di seguito riportiamo l’elenco degli aggiornamenti dei browser che risolvono la vulnerabilità WebP:
- Google Chrome versione 116.0.5846.187 (Mac / Linux); Chrome versione 116.0.5845.187/.188 per Windows
- Mozilla Firefox 117.0.1; Firefox ESR 102.15.1; Firefox ESR 115.2.1; Thunderbird 102.15.1; Thunderbird 115.2.2
- Microsoft Edge versione 116.0.1938.81
- Brave Brave Browser version 1.57.64
In questi giorni meglio verificare la disponibilità di patch di sicurezza per i principali software utilizzati per avviare l’update non appena risultano disponibili. Macitynet pubblicherà aggiornamenti non appena ci saranno novità al riguardo. La foto in apertura è di Michael Geiger su Unsplash.
Tutte le notizie che parlano di sicurezza informatica sono disponibili nella sezione dedicata di macitynet.
