Ernstig lek in WebP grafisch formaat bedreigt browsers en apps
Er is momenteel een ernstig beveiligingslek in de "libwebp" codebibliotheek. Veel browsers en populaire programma's zijn hierdoor getroffen en kwetsbaar.
"CVE-2023-4863" is de naam van de kwetsbaarheid die momenteel veel systemen bedreigt. Het bevindt zich in de "libwebp" codebibliotheek, die nodig is voor het renderen van WebP afbeeldingen. Dit is een zogenaamde "heap buffer overflow" kwetsbaarheid. Hierdoor is het voor cybercriminelen mogelijk om kwaadaardige code op je apparaat te smokkelen en op afstand uit te voeren terwijl je bijvoorbeeld op het web surft. Dit staat bekend als een "buffer overflow aanval". Dit kan een systeem beschadigen of privégegevens stelen. In het ergste geval kunnen ze ook de controle over je systeem overnemen. Zoals is gemeld door verschillende bronnen, is dit al gebeurd.
Eenvoudig uitgelegd: Wat is een "buffer overflow" aanval?
Een "buffer overflow" moet heel letterlijk worden opgevat. Dit gebeurt wanneer er meer gegevens in een geheugen worden geladen dan de buffer kan bevatten. Door de kwetsbaarheid kan het programma de gegevens die in de buffer worden "geperst" niet goed controleren. Deze gegevens worden vervolgens overgebracht naar andere geheugengebieden. Als gevolg daarvan kunnen gegevens in deze gebieden worden vervangen, beschadigd of gecompromitteerd. Een patch zorgt er nu voor dat de programma's de binnenkomende gegevens correct controleren en dat de geheugenlimieten worden nageleefd.
Welke programma's worden beïnvloed
Software die gebruik maakt van de "libwebp" bibliotheek in kwestie. In principe zijn dit alle programma's die zijn gebaseerd op Chromium of op het Electron framework. Dit geldt voor vrijwel alle bekende browsers (inclusief browsers zonder Chromium): Chrome, Firefox, Edge, Opera, Vivaldi, Safari en Brave.
Bron: Florian Bodoky
Andere populaire software wordt ook getroffen: Discord, MS Teams of Signal, maar ook Libreoffice of 1Password en nog veel meer. Het maakt niet uit welk besturingssysteem je gebruikt - "libwebp" wordt overal gebruikt.
#
Wat moet ik doen?
Hier kan ik je eindelijk goed nieuws geven. Er zijn al patches voor Chromium-gebaseerde browsers. Je kunt dus het beste nu controleren of er een update beschikbaar is. Zo niet, dan zal dat zeker de komende dag of twee het geval zijn. Electron heeft ook al gereageerd en een fix uitgebracht. Je kunt dus verwachten dat de ontwikkelaars van apps die op Electron zijn gebaseerd je nu of in de komende dagen van een update zullen voorzien. Je kunt zien welke programma's vertrouwen op Electron hier.
Coverafbeelding:Shutterstock
Sinds ik ontdekt heb hoe ik beide telefoonkanalen op de ISDN kaart kan activeren voor meer bandbreedte, ben ik aan het knutselen met digitale netwerken. Ik knutsel al met analoge netwerken sinds ik kan praten. Winterthur door keuze met een rood-blauw hart. En koffie - voor, na, tussendoor en tijdens.