X

Sicherheitslücke im WebP-Codec: Diese Browser und Apps sind betroffen

Eine Sicherheitslücke in zahlreichen Anwendungen, die mit dem Grafikformat WebP umgehen können, bedroht derzeit Nutzer weltweit. Dazu gehören Webbrowser, Grafik-Apps und auch Messenger. Wir haben uns die Schwachstelle einmal angesehen.
14.09.2023  19:28 Uhr

Schwerwiegende WebP-Schwachstelle

Entdeckt wurde das WebP-Problem von Apple. Dort wurden bereits eine Reihe von Sicherheitsupdates veröffentlicht, die das Problem beheben. Die Schwachstelle ist mit dem Code verbunden, der zum Rendern von WebP-Bildern verwendet wird. Es handelt sich dabei um eine Heap Buffer Overflow-Lücke (Pufferüberlaufschwachstelle) im WebP Codec, die jetzt als CVE-2023-4863 bekannt wird. Die Schwachstelle wird bereits aktiv ausgenutzt, daher ist ein sofortiges Update aller entsprechenden Anwendungen, die WebP handeln, erforderlich.


Auch Google, Mozilla, Microsoft und Brave haben jeweils kritische Sicherheits-Patches veröffentlicht, berichtet das Online-Magazin Stack Diary. Die Patches adressieren die Schwachstelle, die ein Angreifer nutzen könnte, um sich Zugang zu einem PC aus der Ferne zu verschaffen oder bösartigen Code auszuführen.

Wir haben eine Liste betroffener Software zusammengestellt. Die Liste ist verlinkt mit den Programmen in WinFuture-Downloadbereich, sodass ihr euch die aktuellen Versionen gleich herunterladen könnt. Falls euch noch weitere betroffene Anwendungen bekannt sind, sendet uns bitte einen News-Hinweis, damit wir die App noch mit in die Liste aufnehmen können.

Kritische WebP-Schwachstelle in Apps


Das NIST stuft die Sicherheitslücke als schwerwiegend ein. Die Schwachstelle CVE-2023-4863 wurde von Mitre und anderen Organisationen, die CVEs verfolgen, dabei fälschlicherweise als "Chrome-only" gekennzeichnet. Dadurch berichteten zunächst auch viele Medien, dass es sich nur um ein Problem von Google Chrome handelt.

Diese Sicherheitslücke betrifft also nicht nur Webbrowser, sondern jede Software, die die libwebp-Bibliothek verwendet. Das schließt Electron-basierte Anwendungen ein, zum Beispiel Signal. Electron hat die Sicherheitslücke ebenfalls bereits gepatcht, sodass nun auch die Partnerprojekte aktualisiert werden können.

Zusammenfassung
  • Sicherheitslücke in Anwendungen, die Grafikformat WebP nutzen, bedroht Nutzer
  • Apple entdeckt Problem und veröffentlicht Sicherheitsupdates
  • Heap Buffer Overflow-Lücke im WebP Codec, bekannt als CVE-2023-4863
  • Sicherheitslücke ermöglicht Angreifern Zugang zu PCs und Ausführung von bösartigem Code
  • Betroffene Software umfasst Google Chrome, Firefox, Microsoft Edge, Brave Browser und mehr
  • NIST stuft Sicherheitslücke als schwerwiegend ein
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture