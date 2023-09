Eine Sicherheitslücke in zahlreichen Anwendungen, die mit dem Grafikformat WebP umgehen können, bedroht derzeit Nutzer weltweit. Dazu gehören Webbrowser, Grafik-Apps und auch Messenger. Wir haben uns die Schwachstelle einmal angesehen.

Entdeckt wurde das WebP-Problem von Apple . Dort wurden bereits eine Reihe von Sicherheitsupdates veröffentlicht, die das Problem beheben. Die Schwachstelle ist mit dem Code verbunden, der zum Rendern von WebP-Bildern verwendet wird.Es handelt sich dabei um eine Heap Buffer Overflow-Lücke (Pufferüberlaufschwachstelle) im WebP Codec, die jetzt als CVE-2023-4863 bekannt wird. Die Schwachstelle wird bereits aktiv ausgenutzt, daher ist ein sofortiges Update aller entsprechenden Anwendungen, die WebP handeln, erforderlich.Auch Google, Mozilla, Microsoft und Brave haben jeweils kritische Sicherheits-Patches veröffentlicht, berichtet das Online-Magazin Stack Diary . Die Patches adressieren die Schwachstelle, die ein Angreifer nutzen könnte, um sich Zugang zu einem PC aus der Ferne zu verschaffen oder bösartigen Code auszuführen.Wir haben eine Liste betroffener Software zusammengestellt. Die Liste ist verlinkt mit den Programmen in WinFuture-Downloadbereich , sodass ihr euch die aktuellen Versionen gleich herunterladen könnt. Falls euch noch weitere betroffene Anwendungen bekannt sind, sendet uns bitte einen News-Hinweis , damit wir die App noch mit in die Liste aufnehmen können.Das NIST stuft die Sicherheitslücke als schwerwiegend ein. Die Schwachstelle CVE-2023-4863 wurde von Mitre und anderen Organisationen, die CVEs verfolgen, dabei fälschlicherweise als "Chrome-only" gekennzeichnet. Dadurch berichteten zunächst auch viele Medien, dass es sich nur um ein Problem von Google Chrome handelt.Diese Sicherheitslücke betrifft also nicht nur Webbrowser, sondern jede Software, die die libwebp-Bibliothek verwendet. Das schließt Electron-basierte Anwendungen ein, zum Beispiel Signal. Electron hat die Sicherheitslücke ebenfalls bereits gepatcht, sodass nun auch die Partnerprojekte aktualisiert werden können.