Unzählige Anwendungen betroffen: WebP-Schwachstelle erreicht maximalen Schweregrad
Google hat einer zuvor als reine Chrome-Sicherheitslücke eingestuften kritischen Schwachstelle in der WebP-Bibliothek Libwebp eine neue CVE-ID mit dem maximal möglichen Schweregrad mit einem CVSS von 10 zugewiesen. Mit der neuen Registrierung als CVE-2023-5129(öffnet im neuen Fenster) wird die Lücke jetzt der Tatsache gerecht, dass sie neben dem Chrome-Browser auch noch zahlreiche andere Anwendungen betrifft.
Die Schwachstelle erlaubt es einem Angreifer, durch ein speziell gestaltetes Bild im WebP-Format einen Heap-Pufferüberlauf zu erzwingen und schadhaften Code auszuführen. Dafür muss die angegriffene Person das Bild lediglich in einer der anfälligen Anwendungen öffnen, wofür im Falle eines Webbrowsers der bloße Besuch einer entsprechend präparierten Webseite ausreicht. Infolgedessen kann der böswillige Akteur beispielsweise eine Malware installieren und damit sensible Daten stehlen oder gar die Kontrolle über das Zielsystem übernehmen.
WebP-Schwachstelle betrifft weit mehr als nur Chrome
Erstmals gemeldet wurde die WebP-Schwachstelle am 6. September von Apples Security Engineering and Architecture (SEAR) und dem Citizen Lab an der Munk School der Universität Toronto. Während die gängigsten Webbrowser wie Chrome, Firefox und Edge längst einen entsprechenden Patch erhalten haben, dürften noch immer viele Anwendungen, die die anfällige Bibliothek verwenden, ungeschützt sein.
Zuerst hatte Google die Sicherheitslücke unter CVE-2023-4863(öffnet im neuen Fenster) als reinen Chrome-Bug gekennzeichnet, anstatt sie gleich der offenen Libwebp-Bibliothek(öffnet im neuen Fenster) zuzuordnen, die in vielen Softwareprojekten für die Kodierung und Dekodierung von Bildern im WebP-Format zum Einsatz kommt. Das sorgte unter Sicherheitsforschern für reichlich Verwunderung, da im Grunde auch Anwendungen wie Gimp, Inkscape, Libreoffice, Telegram, Signal, Thunderbird, 1Password und noch viele weitere betroffen sind.
Für viele betroffene Anwendungen sind bereits Patches verfügbar, die die Sicherheitslücke schließen. Nutzer sollten darauf achten, ihre Software stets auf dem neusten Stand zu halten, um einem möglichen Angriff vorzubeugen.
Auch Blastpass beruhte womöglich auf der WebP-Schwachstelle
Wie aus einem Bericht von Bleeping Computer(öffnet im neuen Fenster) hervorgeht, brachte der Sicherheitsforscher Ben Hawkes die WebP-Schwachstelle vor rund einer Woche(öffnet im neuen Fenster) sogar mit der von Apple am 7. September gepatchten Sicherheitslücke CVE-2023-41064 in Verbindung. Letztere wurde in der Vergangenheit als Teil einer Zero-Click-Exploit-Kette namens Blastpass ausgenutzt, um die kommerzielle Spionagesoftware Pegasus von der NSO Group auf iPhones zu installieren.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.