Schwere Sicherheitslücke in WebP-Grafikformat bedroht Browser und Apps
Aktuell gibt es eine schwerwiegende Sicherheitslücke in der Codebibliothek «libwebp». Zahlreiche Browser und beliebte Programme sind davon betroffen und angreifbar.
«CVE-2023-4863» heisst die Schwachstelle, die derzeit viele Systeme bedroht. Sie sitzt in der Codebibliothek «libwebp», welche zum Rendern von WebP-Bildern benötigt wird. Es handelt sich dabei um eine sogenannte «Heap Buffer Overflow»-Schwachstelle. Durch diese ist es Cyberkriminellen möglich, dir zum Beispiel beim Surfen Schadcode auf dein Gerät zu schmuggeln und diesen aus der Ferne auszuführen. Das nennt man dann «Buffer Overflow Attack». Dadurch kann ein System geschädigt oder private Daten gestohlen werden. Im schlimmsten Fall können sie auch die Steuerung deines Systems übernehmen. Wie aus verschiedenen Quellen bekannt geworden ist, sei dies auch bereits geschehen.
Einfach erklärt: Was ist ein «Buffer Overflow»-Angriff?
Ein «Buffer Overflow» (Pufferüberlauf) ist durchaus wörtlich zu verstehen. Dieser tritt dann auf, wenn mehr Daten in einen Speicher geladen werden, als der Puffer bereitstellen kann. Wegen der Schwachstelle kann das Programm die Daten, die in den Puffer «hineingequetscht» werden, nicht richtig prüfen. So greifen diese Daten dann auf andere Speicherbereiche über. Dadurch können Daten in diesen Bereichen entweder ersetzt, beschädigt oder kompromittiert werden. Ein Patch sorgt nun dafür, dass die Programme die eingehenden Daten richtig kontrollieren und die Speichergrenzen eingehalten werden.
Welche Programme sind betroffen?
Software, welche die besagte «libwebp»-Bibliothek verwendet. Grundsätzlich sind das alle Programme, die entweder auf Chromium oder auf dem Electron-Framework basieren. Das betrifft einerseits praktisch alle bekannten Browser (auch jene ohne Chromium): Chrome, Firefox, Edge, Opera, Vivaldi, Safari und Brave.
Quelle: Florian Bodoky
Andererseits aber auch sonstige verbreitete Software: Discord, MS Teams oder Signal, aber auch Libreoffice oder 1Password und viele mehr. Dabei spielt es keine Rolle, auf welchem Betriebssystem du sie verwendest – überall kommt «libwebp» zum Einsatz.
Was muss ich tun?
Hier kann ich dir endlich mal eine gute Nachricht übermitteln. Für Chromium-basierte Browser gibt es bereits Patches. Sieh also am besten gleich jetzt nach, ob ein Update bereitsteht. Wenn nicht, dann wird das sicherlich in den nächsten ein bis zwei Tagen der Fall sein. Auch Electron hat bereits reagiert und einen Fix veröffentlicht. Du kannst also damit rechnen, dass die Entwickler der Electron-basierten Apps bereits jetzt oder im Verlauf der nächsten Tage ein Update für dich bereitstellen. Welche Programme auf Electron setzen, erfährst du hier.
Titelbild:Shutterstock
Seit ich herausgefunden habe, wie man bei der ISDN-Card beide Telefonkanäle für eine grössere Bandbreite aktivieren kann, bastle ich an digitalen Netzwerken herum. Seit ich sprechen kann, an analogen. Wahl-Winterthurer mit rotblauem Herzen.