Warnung vor Zero Day Exploit - WebP-Sicherheitslücke betrifft zahlreiche Anwendungen
von Tina Siering
Hochkritische Sicherheitslücke im WebP-Grafikformat entdeckt
WebP ist ein von Google entwickeltes Open-Source-Bildformat, das zu kleineren Dateigrößen mit weniger visuellen Artefakten führt. Es wird von einer Vielzahl von Anwendungen verwendet. Die nun entdeckte Zero-Day-Sicherheitslücke hat daher schwerwiegende Auswirkungen, deren Ausmaß derzeit schwer abzuschätzen ist.
Ursprünglich wurde diese Sicherheitslücke nur für Google Chrome identifiziert, doch bereits kurze Zeit später wurde diese Einstufung revidiert: Google kennzeichnete die alte Lücke (CVE-2023-4863) als kritisch und beantragte den neuen Eintrag (CVE-2023-5129), mit einem CVSS Score von 10. Zusätzlich wurde der alte Eintrag aktualisiert und weist nun darauf hin, dass die gesamte libwebp-Bibliothek, die von vielen Anwendungen verwendet wird, betroffen ist.
Wie genau sieht der Exploit aus?
Ausmaß und genaue Art eines potenziellen Angriffs sind derzeit ungewiss. Es wird vermutet, dass manipulierte WebP-Grafiken auf entsprechend präparierten HTML-Websites große Gefahr mit sich bringen. Schlimmstenfalls reicht der Besuch einer solchen Website aus, um Schadcode ausgeliefert zu bekommen.
Diese Anwendungen und Systeme sind betroffen
Zu den gefährdeten Anwendungen gehören Browser wie Edge und Firefox, Linux-Distributionen (z.B. Debian und Ubuntu) und andere Software wie LibreOffice, Slack und Signal Desktop. Besonders hervorzuheben ist, dass viele Anwendungen, die auf das Electron-Framework setzen, ebenfalls betroffen sind. Eine Liste mit anfälligen Electron-Apps wird derzeit auf Github zusammengestellt. Es ist davon auszugehen, dass viele Hersteller derzeit die Verwendung des WebP-Grafikformats prüfen und untersuchen, ob sie akut betroffen sind. Die Liste kann daher nur eine Momentaufnahme sein.
Schutzmaßnahmen und Updates für Benutzer
Die Liste der anfälligen Anwendungen ist umfangreich und noch sind kaum Sicherheitsupdates verfügbar! Benutzer sollten daher nach Updates suchen und diese so schnell wie möglich installieren. Patches für Firefox, Thunderbird, Chrome, Apple iOS und Tails sind bereits verfügbar. Auch Apple hat kritische Updates für Mac und iOS veröffentlicht.
Mögliche Verbindung zur BLASTPASS-Attacke und NSO Group
Ein Forscher stellt eine Verbindung zwischen der WebP-Lücke und den sogenannten BLASTPASS-Attacken (CVE-2023-41064) auf Apple-Systeme durch die NSO Group her. Derzeit sind jedoch keine weiteren Details zu dieser Verbindung verfügbar.
Handlungsempfehlung – unbedingt patchen!
Wir empfehlen IT-Sicherheitsverantwortlichen, die bisher bekannten und bereitgestellten Patches unverzüglich einzuspielen.
Im MVSP-Umfeld (Schwachstellenmanagement) existieren bereits erste Prüfpattern, die von unseren Cyber Security Analysten aktiv evaluiert und getestet werden.
Unsere Kunden mit einem aktiven Managed Service-Vertrag für ACD werden selbstverständlich über maliziöse Kommunikation auf ihren Systemen informiert.