WebP 0-Day-Lücke: Google weist neue CVE für libwebp-Sicherheitslücke zu

[HWL News Bot]

Unter der Bezeichnung CVE-2023-5129 wurde eine neue Zero-Day-Schwachstelle in libwebp aufgedeckt. Die Bibliothek, die in Millionen von Anwendungen mit einem Basiswert von 10.0 zu finden ist. Es handelt sich um eine kürzlich bekannt gewordene kritische Zero-Day-Schwachstelle in der WebP-Bildbibliothek, auch bekannt als 0day in WebP.
... weiterlesen

 

[_roman_]

Kritik an den Textersteller - CVE hätte man schon lesen können sinnerfassend.

Die ursprünglich von Apple und Citizen Lab gemeldete Schwachstelle, die als CVE-2023-4863 speziell für Google Chrome verfolgt wurde, wurde inzwischen als CVE-2023-5129 neu klassifiziert und korrekt als Schwachstelle in libwebp mit einer maximalen Schwerebewertung von 10/10 eingestuft.

Die CVE meint 5129 ist ein Duplikat. Und wird wie üblich dann wird auf den eigentlichen Bug referenziert.
Hier steht es ist ein Duplikat:

NVD - CVE-2023-5129

nvd.nist.gov

Duplikat von

NVD - CVE-2023-4863

nvd.nist.gov

Der Einzige Bug ist die andere Nummer
welche auf hier verweist u.a.

WebP: Multiple vulnerabilities (GLSA 202309-05) — Gentoo security

Multiple vulnerabilities have been discovered in WebP, the worst of which could result in remote code execution.

security.gentoo.org

Und da mich nur Gnu Gentoo Linux interessiert, habe ich mal für mich interessantes nachgeschaut.

Mir geht es Gesundheitlich nicht gut. Deshalb habe ich jetzt seit dem 19 September nichts mehr aktualsiert.
Am 19 September 2023 bei meiner Synchronisierung mit den Gentoo Linux Repository war schon das sichere Paket stabil.

roman@Sienna_Cichlid ~ $ qlist -Iv webp
media-libs/libwebp-1.3.2
roman@Sienna_Cichlid ~ $ eshowkw libwebp
Keywords for media-libs/libwebp:
| | u |
| a a p s l r a | n |
| m r h p p i o i s l m m | e u s | r
| d a m p p c a x a o s 3 p 6 i | a s l | e
| 6 r 6 p p 6 r 8 6 n c 9 h 8 p | p e o | p
| 4 m 4 a c 4 c 6 4 g v 0 a k s | i d t | o
-------------------+-------------------------------+---------+-------
1.2.4-r2 | + + + + + + + + ~ ~ ~ ~ ~ ~ ~ | 8 o 0/7 | gentoo
1.3.1_p20230908 | + + + + ~ + + + ~ ~ ~ ~ ~ ~ ~ | 8 o | gentoo
1.3.1_p20230912 | ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ | 8 # | gentoo
1.3.2 | ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ | 8 o | gentoo
roman@Sienna_Cichlid ~ $ emerge --info|grep Time
Timestamp of repository gentoo: Tue, 19 Sep 2023 05:30:01 +0000

 

[passat3233]

Die WebP-Bibliothek wird in vielen Anwendungen verwendet.
Viele (alle?) haben inzwischen Updates bekommen.
Beispielsweise LibreOffice 7.5 und 7.6, Microsoft Paint.NET 5, das WebP-Plugin von IrfanView 4.62, etc.

 

[BobbyD]

das WebP-Plugin von IrfanView 4.62, etc.

Danke für die Erinnerung, die PlugIns waren bei mir natürlich veraltet...
Wobei Version auch nach dem Update noch als 4.61 angezeigt wird?

Beitrag automatisch zusammengeführt: 04.10.2023

Es handelt sich um einen extra Download... nur für einzelne PlugIns. Kurz: Eine Katastrophe!
Ich habe nun Irfanview erneut installiert, dieses mal ohne PlugIns und habe welche von denen, die immer mitgeliefert werden, noch zusätzlich deaktiviert.

Ich werd mich nach einem neuen Viewer umschauen.

 

[passat3233]

Hast du auch Irfanview selbst auf 4.62 aktualisiert?
Und das aktualisierte WebP-Plugin muß man sich separat herunterladen, es ist im Plugin-Paket nicht drin!
https://www.irfanview.com/plugins.htm und da herunterscrollen bis "PlugIns updated after the version 4.62:"

 

[BobbyD]

Hast du auch Irfanview selbst auf 4.62 aktualisiert?

Klar, aber wie gesagt, eine Katastrophe, sobald man zusätzliche PlugIns installiert hat.