NEWS

WebP 0-Day-Lücke

Google weist neue CVE für libwebp-Sicherheitslücke zu

Portrait des Authors


Google weist neue CVE für libwebp-Sicherheitslücke zu
5

Werbung

Unter der Bezeichnung CVE-2023-5129 wurde eine neue Zero-Day-Schwachstelle in libwebp aufgedeckt. Die Bibliothek, die in Millionen von Anwendungen mit einem Basiswert von 10.0 zu finden ist. Es handelt sich um eine kürzlich bekannt gewordene kritische Zero-Day-Schwachstelle in der WebP-Bildbibliothek, auch bekannt als 0day in WebP.

Sie stellt ein erhebliches Sicherheitsrisiko für zahlreiche Softwareanwendungen und Plattformen dar. Die ursprünglich von Apple und Citizen Lab gemeldete Schwachstelle, die als CVE-2023-4863 speziell für Google Chrome verfolgt wurde, wurde inzwischen als CVE-2023-5129 neu klassifiziert und korrekt als Schwachstelle in libwebp mit einer maximalen Schwerebewertung von 10/10 eingestuft. Neben Chromium-basierten Browsern umfasst diese umfangreiche Liste der betroffenen Programme auch andere wichtige Browser wie Mozilla Firefox, Apple Safari und Microsoft Edge, die alle libwebp verwenden. Ebenso betroffen sind diverse Social Media Anwendungen und auch Twitch und Discord. Die Liste in vollem Umfang findet sich hier.

Die Schwachstelle besteht in der verlustfreien Komprimierungskomponente der Open-Source-Bibliothek libwebp, die die Kodierung und Dekodierung von Bildern im WebP-Format ermöglicht. Konkret handelt es sich um einen Heap-Pufferüberlauf im Huffman-Kodierungsalgorithmus, der für die verlustfreie Komprimierung in WebP verwendet wird.

Indem sie bösartige WebP-Bilder erstellen und ihre Opfer dazu bringen, diese zu öffnen, können Angreifer diesen Fehler ausnutzen, um beliebigen Code auszuführen und auf sensible Benutzerdaten zuzugreifen. In der Praxis ist die Ausnutzung zwar nicht trivial, aber theoretisch in jedem Bildverarbeitungskontext möglich, auch serverseitig, was die Reichweite der Schwachstelle viel größer macht als ursprünglich angenommen, da libwebp eine Abhängigkeit für viele häufig verwendete Anwendungen darstellt. Etliche Anbieter arbeiten bereits an einer Lösung. Daher ist es wichtig, alle Programme, die libwebp nutzen, immer auf dem neuesten Stand zu halten.

Einige der oben genannten Anwendungen und auch noch eine Handvoll mehr, haben bereits ein Update erhalten, welches die Schwachstelle schließt.