Unzählige Anwendungen betroffen: Chaos bei WebP-Lücke
Eine Sicherheitslücke im WebP-Grafikformat betrifft über Googles Chrome hinaus deutlich mehr Anwendungen.
Zahllose Anwendungen zeigen Bilder in Google WebP-Format an. Eine Schwachstelle in dem Grafikformat betrifft dementsprechend alle Anwendungen, die das Format einsetzen. Anfangs ordnete Google die Lücke aber nur dem hauseigenen Webbrowser Chrome zu.
Neue Lücke = alte Lücke?
Mittlerweile hat Google sich aber korrigiert und für die alte Sicherheitslücke (CVE-2023-4863 "hoch") den neuen Eintrag CVE-2023-5129 mit einer kritischen Einstufung (CVSS Score 10 von 10) eingereicht.
Dieser wurde aber bereits nach sechs Stunden durch Google als ungültig erklärt. Als Grund ist angegeben, dass der neue Eintrag sich mit dem alten Eintrag doppelt. Dafür wurde nun der alte Eintrag ergänzt, dass die Lücke neben Chrome auch die komplette libwebp-Bibliothek betrifft, die viele Anwendungen einsetzen.
Wie eine Attacke aussehen könnte, ist bislang unklar. Im Kontext von Webbrowsern ist immer wieder die Rede von präparierten HTML-Websites. Das klingt so, als würde der Besuch einer Website mit einer mit Schadcode manipulierten WebP-Grafik eine Attacke einleiten können. Ist ein Angriff erfolgreich, gelangt Schadcode auf Systeme.
Betroffene Anwendungen
Darunter sind unter anderem Browser wie Edge und Firefox, Linux-Distributionen wie Debian und Ubuntu und Anwendungen wie LibreOffice, Slack und Signal Desktop. Außerdem sind viele Anwendungen betroffen, die auf das Electron-Framework setzen. Derzeit trägt ein Sicherheitsforscher auf Github eine Liste mit verwundbaren Electron-Apps zusammen. Die Electron-Versionen 22.3.24, 24.8.3, 25.8.1 und 27.0.0-beta.2 sollen dagegen abgesichert sein. Die libwebp-Bibliothek ist in der Ausgabe 1.3.2 gerüstet.
Die Liste der verwundbaren Anwendungen ist also lang und es sind längst nicht alle Sicherheitsupdates erschienen. Nutzer sollten also Ausschau nach Patches halten und diese zügig installieren. Unter anderem für Firefox, Thunderbird und Tails sind schon abgesicherte Ausgaben erschienen.
Auf X bringt ein Sicherheitsforscher die WebP-Lücke in Zusammenhang mit den BLASTPASS getauften Attacken (CVE-2023-41064 "hoch") auf Apple-Systeme durch das umstrittene Sicherheitsunternehmen NSO Group. Weitere Details dazu gibt es zurzeit nicht.
Die korrekten reparierten Versionen der libwebp-Bibliothek und Electron in Fließtext eingefügt.
(des)