{"id":286464,"date":"2023-09-28T18:36:05","date_gmt":"2023-09-28T16:36:05","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=286464"},"modified":"2023-09-29T01:28:20","modified_gmt":"2023-09-28T23:28:20","slug":"webp-schwachstelle-cve-2023-5129-betrifft-mehrere-software-pakete-wie-webbrowser","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/09\/28\/webp-schwachstelle-cve-2023-5129-betrifft-mehrere-software-pakete-wie-webbrowser\/","title":{"rendered":"WebP-Schwachstelle (CVE-2023-5129) betrifft mehrere Software-Pakete wie Webbrowser"},"content":{"rendered":"

\"Sicherheit[English<\/a>]In der WebP-Bibliothek Libwebp<\/em> gibt es eine Schwachstelle (CVE-2023-5129), die mit dem maximal m\u00f6glichen CVSS-Index von 10 versehen ist. Ein Heap-Puffer\u00fcberlauf erm\u00f6glicht Angreifern die Ausf\u00fchrung von schadhaften Code. Urspr\u00fcnglich wurde die Schwachstelle dem Chrome-Browser zugeordnet. Weil sie aber die Bibliothek Libwebp betrifft, sind eine Reihe Software-Pakete, die diese Bibliothek verwenden, betroffen. F\u00fcr Chrome und Firefox sind bereits Updates ver\u00f6ffentlicht worden.<\/p>\n

<\/p>\n

\"\"WebP<\/a> ist ein modernes Bildformat f\u00fcr eine hervorragende verlustfreie und verlustbehaftete Komprimierung von Bildern im Web. Mit WebP k\u00f6nnen Webmaster und Webentwickler kleinere, sattere Bilder erstellen, die das Web schneller machen. Es gibt dazu eine WebP-Bibliothek<\/a> Libwebp z<\/em>ur zur Kodierung und Dekodierung von Bildern im WebP-Format.<\/p>\n

\"WebP<\/p>\n

In obigem Tweet weist Lukasz Olejnik darauf hin, dass die WebP-Bibliotheken in vielen Software-Produkten (Chromium, Firefox, Android, Electron-Framwork etc.) verwendet werden. Adam Caudill hat in seinem Blog-Beitrag<\/a> auf diese Problematik hingewiesen. Die Schwachstelle CVE-2023-4863 wurde f\u00fcr den Google Chrome ver\u00f6ffentlicht. Es handelt sich um einen \"Heap-Puffer\u00fcberlauf in WebP in Google Chrome vor Build 116.0.5845.187, die es einem Remote-Angreifer \u00fcber eine manipulierte HTML-Seite einen Out-of-Bounds-Speicherzugriff\u00a0 erm\u00f6glicht\".<\/p>\n

Dieselbe CVE wird aber von einer Reihe anderer Anbieter zitiert, da deren Software betroffen ist. Der Hintergrund: Das Problem liegt, wie oben angerissen, in der libwebp-Bibliothek, die von Chromium und einer Reihe anderer Projekte verwendet wird. Die Bibliothek wird vom WebM-Projekt verwaltet, einem Gemeinschaftsprojekt von Google und einer Reihe anderer Unternehmen.<\/p>\n

Firefox zum Beispiel verwendet ebenfalls libwebp und ist von dieser Schwachstelle betroffen. StackDiary hatte Mitte September 2023 in diesem Beitrag<\/a> weitere dieser Pakete aufgef\u00fchrt. 1Password for Mac, Affinity (Design Software), Gimp, Inkscape, LibreOffice, Telegram etc. geh\u00f6ren auch dazu. Laut Google wird die Schwachstelle in WebP aktiv ausgenutzt<\/a> (wobei dort CVE-2023-4863 angegeben ist).<\/p>\n

\"WebP<\/a><\/p>\n

In obigem Tweet<\/a> sowie in diesem Artikel<\/a> weist Golem darauf hin, dass die Schwachstelle in WebP im CVSS-Index den maximalen Schweregrad erreicht habe. Dort wird das Thema nachbereitet und auch angerissen, welche Software-Produkte betroffen sein k\u00f6nnten. Ben Hawkes hat eine Analyse des Sachverhalts in diesem Artikel<\/a> ver\u00f6ffentlicht.<\/p>\n

Auf GitHub gibt es diese Liste<\/a> betroffener Electron Framework-Anwendungen. heise hat hier<\/a> ebenfalls einen Abriss der Thematik ver\u00f6ffentlicht. Auf The Hacker News<\/em> gibt es diesen Artikel<\/a>, der das Thema ebenfalls aufgreift und berichtet, dass Angriffe stattfinden. Hier kann man als Nutzer nur schauen, ob bei den eingesetzten Programmen die Bibliothek verwendet wird bzw. ob Sicherheitsupdates bereitstehen.<\/p>\n

Sowohl Google (Google Chrome 117.0.5938.132<\/a>) als auch Mozilla (Firefox 118.0.1, 118.1.0 und 115.3.1<\/a>) haben reagiert und Sicherheitsupdate ver\u00f6ffentlicht. Zudem gibt es von LibreOffice Sicherheitsupdates LibreOffice 7.6.2 und LibreOffice 7.5.7 fixen CVE 2023-4863<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In der WebP-Bibliothek Libwebp gibt es eine Schwachstelle (CVE-2023-5129), die mit dem maximal m\u00f6glichen CVSS-Index von 10 versehen ist. Ein Heap-Puffer\u00fcberlauf erm\u00f6glicht Angreifern die Ausf\u00fchrung von schadhaften Code. Urspr\u00fcnglich wurde die Schwachstelle dem Chrome-Browser zugeordnet. Weil sie aber die Bibliothek … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-286464","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/286464","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=286464"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/286464\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=286464"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=286464"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=286464"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}