Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Betrifft unzählige Anwendungen: Zero-Day-Schwachstelle in VP8-Videokodierung

Google hat mal wieder eine Zero-Day- Schwachstelle in Chrome gepatcht. Neben gängigen Webbrowsern sind aber auch viele andere Apps betroffen.
/ Marc Stöckel
2 Kommentare News folgen (öffnet im neuen Fenster)
Eine Schwachstelle in Googles Libvpx-Bibliothek betrifft zahlreiche Anwendungen. (Bild: pexels.com / Saksham Choudhary)
Eine Schwachstelle in Googles Libvpx-Bibliothek betrifft zahlreiche Anwendungen. Bild: pexels.com / Saksham Choudhary

Google hat am Mittwoch eine Zero-Day-Schwachstelle im Chrome-Browser gepatcht, die wieder einmal weitaus mehr Anwendungen zu betreffen scheint , da sie sich auf die VP8-Videokodierung in einer weitverbreiteten Code-Bibliothek namens Libvpx bezieht. Durch die als CVE-2023-5217(öffnet im neuen Fenster) registrierte und laut Google(öffnet im neuen Fenster) bereits aktiv ausgenutzte Sicherheitslücke kann es zu einem Heap-Pufferüberlauf kommen, der es Angreifern ermöglicht, über speziell gestaltete Webseiten Schadcode auf einem Zielsystem auszuführen.

Auch Mozilla hat für verschiedene Varianten seines Firefox-Browsers bereits entsprechende Sicherheitsupdates veröffentlicht(öffnet im neuen Fenster) . Laut Ars Technica(öffnet im neuen Fenster) sind aber nicht nur Webbrowser betroffen. So gebe es allein für die Linux-Systeme Ubuntu und Debian Hunderte von Paketen, die auf die anfällige Bibliothek zurückgreifen. Auch weitverbreitete Anwendungen wie Skype oder VLC machen von Libvpx Gebrauch, ebenso wie das mobile Betriebssystem Android.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

VP8-Dekodierung reicht offenbar nicht aus

Welche dieser Anwendungen tatsächlich anfällig für einen Angriff sind, lasse sich allein aufgrund der Abhängigkeit von Libvpx aber noch nicht abschließend beantworten. Denn laut Google beziehe sich die Schwachstelle nur auf die Kodierung von VP8-Videos, nicht aber auf die Dekodierung. Somit scheint das bloße Abspielen eines Videos nicht auszureichen – es muss stattdessen von der jeweiligen Anwendung erstellt werden. Applikationen, die die VP8-Kodierung nicht nutzen, sollten daher nicht anfällig sein.

Zur tatsächlichen Ausnutzung der Sicherheitslücke ist bisher nur wenig bekannt. Wie Maddie Stone, eine Sicherheitsforscherin von Googles Threat Analysis Group (TAG), in einem X-Beitrag(öffnet im neuen Fenster) erklärt, soll die Zero-Day-Schwachstelle jedoch bereits von einem kommerziellen Überwachungsanbieter genutzt worden sein – vermutlich um Zielgeräte mit einem Staatstrojaner zu infiltrieren. Bis der volle Umfang von CVE-2023-5217 deutlich wird, vergehen aber sicherlich noch ein paar Tage.

Ähnlichkeiten zur WebP-Schwachstelle

Zu einem gewissen Grad ist die Libvpx-Schwachstelle vergleichbar mit CVE-2023-5129. Letztere Sicherheitslücke bezieht sich auf die WebP-Bibliothek Libwebp und kann allein durch die Darstellung einer speziell gestalteten Bilddatei ausgenutzt werden.

Beide Schwachstellen beruhen auf Pufferüberläufen und ermöglichen es Angreifern, mit nur sehr geringfügiger Nutzerinteraktion wie dem Besuch einer präparierten Webseite Schadcode auf einem Zielsystem auszuführen. Außerdem handelt es sich in beiden Fällen um von Google veröffentlichte und in C geschriebene Medienbibliotheken, die in unzähligen Anwendungen zum Einsatz kommen.

Zur Startseite 2 Kommentare

Relevante Themen

SecuritySicherheitslückeUpdates & PatchesGoogleDatensicherheitFirefoxAndroidChrome