Alles aktualisieren: Diese kritische WebP-Sicherheitslücke betrifft die wichtigsten Browser und Apps

Alles aktualisieren: Diese kritische WebP-Sicherheitslücke betrifft die wichtigsten Browser und Apps
Leser wie Sie unterstützen MUO. Wenn Sie über Links auf unserer Website einen Kauf tätigen, erhalten wir möglicherweise eine Affiliate-Provision. Mehr lesen.

Es wurde eine kritische Schwachstelle im WebP-Codec entdeckt, die große Browser dazu zwingt, Sicherheitsupdates zu beschleunigen. Allerdings bedeutet die weitverbreitete Verwendung desselben WebP-Rendering-Codes, dass auch unzählige Apps betroffen sind, bis sie Sicherheitspatches veröffentlichen.





MUO-Video des Tages Scrollen Sie, um mit dem Inhalt fortzufahren

Was ist also die Sicherheitslücke CVE-2023-4863? Wie schlimm ist es? Und was können Sie tun?



Was ist die WebP-Sicherheitslücke CVE-2023-4863?

Das Problem im WebP-Codec wurde CVE-2023-4863 genannt. Die Wurzel liegt in einer bestimmten Funktion des WebP-Rendering-Codes (der „BuildHuffmanTable“), wodurch der Codec anfällig für ist Heap-Pufferüberlauf .





Eine Überlastung des Heap-Puffers tritt auf, wenn ein Programm mehr Daten in einen Speicherpuffer schreibt, als er aufnehmen soll. In diesem Fall kann es möglicherweise dazu kommen, dass benachbarter Speicher überschrieben und Daten beschädigt werden. Schlimmer noch, Hacker können Heap-Pufferüberläufe ausnutzen, um Systeme zu übernehmen und Geräte aus der Ferne.

Eine Befehlszeilenschnittstelle, die einen Schadcode anzeigt

Hacker können Apps ins Visier nehmen, von denen bekannt ist, dass sie Pufferüberlauf-Schwachstellen aufweisen, und ihnen schädliche Daten senden. Sie könnten beispielsweise ein bösartiges WebP-Bild hochladen, das Code auf dem Gerät des Benutzers bereitstellt, wenn dieser es in seinem Browser oder einer anderen App anzeigt.



Diese Art von Sicherheitslücke, die in so weit verbreitetem Code wie dem WebP-Codec vorhanden ist, ist ein ernstes Problem. Abgesehen von den großen Browsern verwenden unzählige Apps denselben Codec zum Rendern von WebP-Bildern. Zum jetzigen Zeitpunkt ist die Sicherheitslücke CVE-2023-4863 zu weit verbreitet, als dass wir wissen könnten, wie groß sie wirklich ist, und die Bereinigung wird chaotisch sein.

So fügen Sie in Photoshop einen Rahmen zu Text hinzu

Ist es sicher, meinen Lieblingsbrowser zu verwenden?

Ja, die meisten großen Browser haben bereits Updates veröffentlicht, um dieses Problem zu beheben. Solange Sie also Ihre Apps auf die neueste Version aktualisieren, können Sie wie gewohnt im Internet surfen. Google, Mozilla, Microsoft, Brave und Tor haben alle Sicherheitspatches veröffentlicht und andere haben dies wahrscheinlich getan, als Sie dies lesen.



wie man Laptop als zweiten Monitor verwendet

Die Updates, die Korrekturen für diese spezifische Sicherheitslücke enthalten, sind:

  • Chrom: Version 116.0.5846.187 (Mac/Linux); Version 116.0.5845.187/.188 (Windows)
  • Feuerfuchs: Firefox 117.0.1; Firefox ESR 115.2.1; Thunderbird 115.2.2
  • Rand: Edge-Version 116.0.1938.81
  • Mutig: Mutige Version 1.57.64
  • Tor: Tor-Browser 12.5.4

Wenn Sie einen anderen Browser verwenden, suchen Sie nach den neuesten Updates und nach spezifischen Hinweisen auf die Sicherheitslücke CVE-2023-4863 durch Heap-Pufferüberlauf in WebP. Beispielsweise enthält die Update-Ankündigung von Chrome den folgenden Hinweis: „Kritisch CVE-2023-4863: Heap-Pufferüberlauf in WebP“.



Hinweise zum Chrome-Update, die auf einen Sicherheitspatch für die WebP-Sicherheitslücke CVE-2023-4863 verweisen

Wenn Sie in der neuesten Version Ihres Lieblingsbrowsers keinen Hinweis auf diese Sicherheitslücke finden, wechseln Sie zu einer der oben aufgeführten Versionen, bis ein Fix für den Browser Ihrer Wahl veröffentlicht wird.

Kann ich meine Lieblings-Apps sicher verwenden?

Hier wird es knifflig. Leider betrifft die WebP-Schwachstelle CVE-2023-4863 auch eine unbekannte Anzahl von Apps. Erstens jede Software, die verwendet die libwebp-Bibliothek ist von dieser Sicherheitslücke betroffen, was bedeutet, dass jeder Anbieter seine eigenen Sicherheitspatches veröffentlichen muss.

Um die Sache noch komplizierter zu machen, ist diese Schwachstelle in viele gängige Frameworks integriert, die zum Erstellen von Apps verwendet werden. In diesen Fällen müssen zunächst die Frameworks aktualisiert werden, und dann müssen die Softwareanbieter, die sie verwenden, auf die neueste Version aktualisieren, um ihre Benutzer zu schützen. Dadurch ist es für den durchschnittlichen Benutzer sehr schwierig zu erkennen, welche Apps betroffen sind und welche das Problem behoben haben.

Wie entdeckt von Alex Ivanovs auf Stack Diary Zu den betroffenen Apps gehören unter anderem Microsoft Teams, Slack, Skype, Discord, Telegram, 1Password, Signal, LibreOffice und die Affinity-Suite.

1Password hat ein Update veröffentlicht um das Problem zu beheben, obwohl die Ankündigungsseite einen Tippfehler für die Schwachstellen-ID CVE-2023-4863 enthält (Endung mit -36 statt -63). Apple hat es auch hat einen Sicherheitspatch für macOS veröffentlicht Das scheint das gleiche Problem zu lösen, bezieht sich aber nicht speziell darauf. Ebenfalls, Slack hat ein Sicherheitsupdate veröffentlicht am 12. September (Version 4.34.119), verweist jedoch nicht auf CVE-2023-4863.

Aktualisieren Sie alles und gehen Sie vorsichtig vor

Als Benutzer können Sie gegen die Sicherheitslücke im WebP-Codex CVE-2023-4863 nur alles aktualisieren. Beginnen Sie mit jedem Browser, den Sie verwenden, und arbeiten Sie sich dann durch Ihre wichtigsten Apps.

Überprüfen Sie die neuesten Release-Versionen für jede mögliche App und suchen Sie nach spezifischen Verweisen auf die CVE-2023-4863-ID. Wenn Sie in den neuesten Versionshinweisen keine Hinweise auf diese Sicherheitslücke finden, sollten Sie den Wechsel zu einer sicheren Alternative in Betracht ziehen, bis Ihre bevorzugte App das Problem behebt. Wenn dies keine Option ist, suchen Sie nach Sicherheitsupdates, die nach dem 12. September veröffentlicht wurden, und aktualisieren Sie weiter, sobald neue Sicherheitspatches veröffentlicht werden.

Dies ist keine Garantie dafür, dass CVE-2023-4863 behoben wird, aber es ist die beste Ausweichoption, die Ihnen zum jetzigen Zeitpunkt zur Verfügung steht.

WebP: Eine gute Lösung mit einer warnenden Geschichte

Google hat WebP im Jahr 2010 als Lösung zum schnelleren Rendern von Bildern in Browsern und anderen Anwendungen eingeführt. Das Format bietet eine verlustbehaftete und verlustfreie Komprimierung, die die Größe von Bilddateien um etwa 30 Prozent reduzieren kann, ohne dass die Qualität spürbar bleibt.

Wie lösche ich eine Zeile in Word?

In Bezug auf die Leistung ist WebP eine gute Lösung zur Reduzierung der Renderzeiten. Allerdings ist es auch ein warnendes Beispiel dafür, dass einem bestimmten Aspekt der Leistung Vorrang vor anderen eingeräumt wird – nämlich der Sicherheit. Wenn unausgegorene Entwicklungen auf breite Akzeptanz stoßen, entsteht ein perfekter Sturm für Quellschwachstellen. Und da Zero-Day-Exploits auf dem Vormarsch sind, müssen Unternehmen wie Google ihr Spiel verbessern oder Entwickler müssen Technologien genauer unter die Lupe nehmen.