Anfang dieser Woche wurde eine Sicherheitslücke im WebP-Codec bekannt, die viele Anwendungen und Betriebssysteme betrifft. Webbrowser sind am stärksten gefährdet, da WebP-Bilder mittlerweile im gesamten Web weit verbreitet sind. Einige Anwendungen, die WebP unterstützen (wie LibreOffice und Telegram), müssen jedoch ebenfalls gepatcht werden, um Sicherheitsprobleme zu vermeiden. Mozilla hat gerade Notfallfixes für Firefox und Thunderbird bereitgestellt, und jetzt werden Google Chrome und Chromium-basierte Browser repariert.
Google Chrome hat jetzt einen Patch für die Sicherheitslücke in seinen stabilen und erweiterten stabilen Kanälen bereitgestellt, beginnend mit Version 116.0.5845.187 für Mac und Linux und den Versionen 116.0.5845.187/.188 unter Windows. Wenn Sie manuell nach Chrome-Updates suchen, wird das Update wahrscheinlich gefunden und installiert. Andernfalls sollte es irgendwann in den nächsten Tagen automatisch heruntergeladen werden (falls dies nicht bereits geschehen ist) und Sie auffordern, den Webbrowser neu zu starten. Die Sicherheitslücke betrifft auch alle Browser, die auf dem Chromium-Projekt basieren, daher hat Microsoft gerade Edge 116.0.1938.81 veröffentlicht, um dieselbe Lücke zu beheben. Vivaldi und Brave Browser stellen den Fix jetzt ebenfalls bereit.
Die Sicherheitslücke (mit der Bezeichnung CVE-2023-4863) betrifft libwebp, eine der gängigsten Methoden für Anwendungen zum Rendern von WebP-Bildern. Sie ermöglicht es einem bösartigen WebP-Bild, einen Heap-Pufferüberlauf zu verursachen, der möglicherweise dazu verwendet werden kann, die Kontrolle über Ihren Computer zu übernehmen. Google sagt, es habe die Sicherheitslücke in freier Wildbahn gefunden, daher ist es wichtig, so schnell wie möglich zu aktualisieren.
Es ist nicht klar, ob Apples Safari-Webbrowser direkt betroffen ist – möglicherweise verwendet er eine andere Methode zum Rendern von WebP-Bildern. Apple hat gerade Updates für iOS 16, iOS 15, watchOS 9, macOS 11 Big Sur, macOS Monterey 12 und macOS 13 Ventura veröffentlicht, um eine andere Sicherheitslücke im Zusammenhang mit Bildern zu beheben. Dieses Sicherheitsproblem, bekannt als CVE-2023-41064, ermöglichte auch ein Pufferüberlaufproblem, um beliebigen Code auf dem Gerät auszuführen. Die genauen technischen Details sind nicht öffentlich, um eine weitere Verbreitung von Exploits zu verhindern. Dieser spezielle Fehler betrifft jedoch nur Apple-Geräte und ist auf eine Schwachstelle im ImageIO-Framework zurückzuführen, das in der Apple-Software verwendet wird.
Quelle: StackDiary, Vivaldi
Leave a Reply
You must be logged in to post a comment.