WebP 0-Day-Lücke: Google weist neue CVE für libwebp-Sicherheitslücke zu

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.867
Unter der Bezeichnung CVE-2023-5129 wurde eine neue Zero-Day-Schwachstelle in libwebp aufgedeckt. Die Bibliothek, die in Millionen von Anwendungen mit einem Basiswert von 10.0 zu finden ist. Es handelt sich um eine kürzlich bekannt gewordene kritische Zero-Day-Schwachstelle in der WebP-Bildbibliothek, auch bekannt als 0day in WebP.
... weiterlesen
 
Zuletzt bearbeitet von einem Moderator:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Kritik an den Textersteller - CVE hätte man schon lesen können sinnerfassend.

Die ursprünglich von Apple und Citizen Lab gemeldete Schwachstelle, die als CVE-2023-4863 speziell für Google Chrome verfolgt wurde, wurde inzwischen als CVE-2023-5129 neu klassifiziert und korrekt als Schwachstelle in libwebp mit einer maximalen Schwerebewertung von 10/10 eingestuft.

Die CVE meint 5129 ist ein Duplikat. Und wird wie üblich dann wird auf den eigentlichen Bug referenziert.
Hier steht es ist ein Duplikat:

Duplikat von

Der Einzige Bug ist die andere Nummer
welche auf hier verweist u.a.
Und da mich nur Gnu Gentoo Linux interessiert, habe ich mal für mich interessantes nachgeschaut.

Mir geht es Gesundheitlich nicht gut. Deshalb habe ich jetzt seit dem 19 September nichts mehr aktualsiert.
Am 19 September 2023 bei meiner Synchronisierung mit den Gentoo Linux Repository war schon das sichere Paket stabil.

roman@Sienna_Cichlid ~ $ qlist -Iv webp
media-libs/libwebp-1.3.2
roman@Sienna_Cichlid ~ $ eshowkw libwebp
Keywords for media-libs/libwebp:
| | u |
| a a p s l r a | n |
| m r h p p i o i s l m m | e u s | r
| d a m p p c a x a o s 3 p 6 i | a s l | e
| 6 r 6 p p 6 r 8 6 n c 9 h 8 p | p e o | p
| 4 m 4 a c 4 c 6 4 g v 0 a k s | i d t | o
-------------------+-------------------------------+---------+-------
1.2.4-r2 | + + + + + + + + ~ ~ ~ ~ ~ ~ ~ | 8 o 0/7 | gentoo
1.3.1_p20230908 | + + + + ~ + + + ~ ~ ~ ~ ~ ~ ~ | 8 o | gentoo
1.3.1_p20230912 | ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ | 8 # | gentoo
1.3.2 | ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ | 8 o | gentoo
roman@Sienna_Cichlid ~ $ emerge --info|grep Time
Timestamp of repository gentoo: Tue, 19 Sep 2023 05:30:01 +0000
 
Die WebP-Bibliothek wird in vielen Anwendungen verwendet.
Viele (alle?) haben inzwischen Updates bekommen.
Beispielsweise LibreOffice 7.5 und 7.6, Microsoft Paint.NET 5, das WebP-Plugin von IrfanView 4.62, etc.
 
das WebP-Plugin von IrfanView 4.62, etc.
Danke für die Erinnerung, die PlugIns waren bei mir natürlich veraltet...
Wobei Version auch nach dem Update noch als 4.61 angezeigt wird?
Beitrag automatisch zusammengeführt:

Es handelt sich um einen extra Download... nur für einzelne PlugIns. Kurz: Eine Katastrophe!
Ich habe nun Irfanview erneut installiert, dieses mal ohne PlugIns und habe welche von denen, die immer mitgeliefert werden, noch zusätzlich deaktiviert.

Ich werd mich nach einem neuen Viewer umschauen.
 
Zuletzt bearbeitet:
Hast du auch Irfanview selbst auf 4.62 aktualisiert?
Und das aktualisierte WebP-Plugin muß man sich separat herunterladen, es ist im Plugin-Paket nicht drin!
https://www.irfanview.com/plugins.htm und da herunterscrollen bis "PlugIns updated after the version 4.62:"
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh