Alles patchen: WebP-Schwachstelle betrifft zahlreiche Webbrowser und Apps

Eine kürzlich entdeckte kritische Sicherheitslücke im WebP-Codec erlaubt es Angreifern, einen Heap-Pufferüberlauf in zahlreichen weitverbreiteten Anwendungen auszulösen, mit denen ein speziell für diesen Zweck präpariertes Bild geöffnet wird. Wie aus einem Bericht von Stackdiary(öffnet im neuen Fenster) hervorgeht, sind nicht nur Webbrowser wie Chrome, Firefox, Brave und Edge, sondern auch unzählige andere Apps, die die Libwebp-Bibliothek(öffnet im neuen Fenster) verwenden, betroffen.

Durch den Pufferüberlauf in der WebP-Bibliothek soll es Angreifern potenziell möglich sein, die Kontrolle über ein Zielsystem zu übernehmen, Daten zu stehlen oder eine Schadsoftware zu installieren. Google bestätigte außerdem(öffnet im neuen Fenster) , dass die Sicherheitslücke aktiv von Angreifern ausgenutzt wird.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Fortgeschrittene Python-Techniken in der Anwendung

zum Artikel

Karriere Ratgeber: 996: Von Shenzhen ins Silicon Valley und bald nach Berlin? Das Comeback der 72-Stunden-Woche

zum Ratgeber

Seminar: Penetration Testing Fundamentals: virtueller Zwei-Tage-Workshop

zum Kurs

E-Learning: Grundkurs in die Excel VBA Programmierung (E-Learning)

zum Kurs

Für die vier genannten Webbrowser wurden bereits Sicherheitsupdates veröffentlicht, die die Schwachstelle beheben. Auch andere Chromium-basierte Webbrowser erhalten wahrscheinlich in Kürze einen entsprechenden Patch, sofern dieser nicht schon verfügbar ist.

Betrifft weit mehr als nur Google Chrome

Obwohl die Sicherheitslücke oftmals nur Google Chrome zugeschrieben(öffnet im neuen Fenster) wird, betont Stackdiary, dass dies nicht der Fall ist. Der Bericht nennt noch eine Reihe weiterer Anwendungen, die die gefährdete Bibliothek zum Rendern von WebP-Bildern ebenfalls verwenden und damit potenziell betroffen sind. Darunter befinde sich auch Software wie Affinity, Gimp, Inkscape, Libreoffice, Telegram, Signal, Thunderbird, 1Password und Ffmpeg.

Grundsätzlich betreffe das Problem eine Vielzahl von Apps, die unter Einsatz von Frameworks wie Electron oder Flutter für verschiedene Plattformen erstellt wurden. Für einige davon sollen bereits Patches veröffentlicht worden sein, für andere hingegen noch nicht. Auch für das von Github entwickelte Electron-Framework gibt es inzwischen einen Patch(öffnet im neuen Fenster) .

Angesichts der Tragweite dieser Sicherheitslücke sind Nutzer dazu angehalten, ihre Webbrowser und auch andere Anwendungen stets auf dem neusten Stand zu halten. Es ist anzunehmen, dass viele Apps in den nächsten Tagen und Wochen entsprechende Updates erhalten, die die WebP-Schwachstelle beheben.

• Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon