Informatik-Nachrichten

Google enthüllt den schlimmsten libwebp-Fehler, den es je gab!

By Jean-Luc Pircard , on Februar 16, 2024 , updated on Februar 16, 2024 - 3 minutes to read
Notez-moi

Eine als Zero-Day ausgenutzte Sicherheitslücke

Google hat einer libwebp-Sicherheitslücke, die als Zero-Day-Angriffe ausgenutzt und vor zwei Wochen gepatcht wurde, eine neue CVE-ID (CVE-2023-5129) zugewiesen.

Das Unternehmen hat den Fehler zunächst als Chrome-Schwäche mit der Bezeichnung CVE-2023-4863 offengelegt, anstatt ihn der Open-Source-Bibliothek libwebp zuzuschreiben, die zum Kodieren und Dekodieren von Bildern im WebP-Format verwendet wird.

Dieser Zero-Day-Fehler wurde am Mittwoch, dem 6. September, gemeinsam von Apple Security Engineering and Architecture (SEAR) und dem Citizen Lab an der Munk School der University of Toronto gemeldet und weniger als eine Woche später von Google behoben.

Die Sicherheitsforscher von Citizen Lab verfügen über langjährige Erfahrung in der Erkennung und Offenlegung von Zero-Day-Angriffen, die in gezielten Spionagekampagnen ausgenutzt wurden, die oft mit staatlich geförderten Bedrohungsakteuren in Verbindung stehen, die es in erster Linie auf Personen mit hohem Risiko wie Journalisten und Oppositionspolitiker abgesehen haben.

Die Entscheidung, es als Chrome-Bug zu betrachten, hat in der Cybersicherheits-Community für Verwirrung gesorgt und Fragen über die Entscheidung von Google aufgeworfen, es als Google Chrome-Problem zu kategorisieren, anstatt es als Sicherheitslücke zu identifizieren. libwebp.

Ben Hawkes, Gründer des Sicherheitsberatungsunternehmens (der zuvor das Project Zero-Team von Google leitete), brachte CVE-2023-4863 auch mit der Sicherheitslücke CVE-2023-41064 in Verbindung, die Apple am 7. September behoben und in einer Kette von Null-Fehlern ausgenutzt hatte. Klicken Sie auf iMessage-Exploits (BLASTPASS genannt), um vollständig gepatchte iPhones mit der kommerziellen Pegasus-Spyware der NSO Group zu infizieren.

Dormann Google WebP CVE

Neuer CVE mit maximalem Schweregrad

Allerdings wurde ihm nun eine andere CVE-ID zugewiesen, CVE-2023-5129, wodurch es als kritisches Problem in libwebp mit einem maximalen Schweregrad von 10/10 eingestuft wird. Diese Änderung hat erhebliche Auswirkungen auf andere Projekte, die die Open-Source-Bibliothek libwebp verwenden.

Offiziell als libwebp-Fehler anerkannt, handelt es sich um einen Heap-Pufferüberlauf in WebP, der Versionen von Google Chrome vor 116.0.5845.187 betrifft.

Diese Sicherheitslücke liegt im Huffman-Kodierungsalgorithmus, der von libwebp für verlustfreie Komprimierung verwendet wird, und ermöglicht es Angreifern, mithilfe bösartiger HTML-Seiten Speicherschreibvorgänge außerhalb der Grenzen auszuführen.

Diese Art von Exploit kann schwerwiegende Folgen haben, die von Abstürzen über die Ausführung willkürlichen Codes bis hin zum unbefugten Zugriff auf vertrauliche Informationen reichen.

Die Neuklassifizierung von CVE-2023-5129 als libwebp-Schwachstelle ist von besonderer Bedeutung, da sie zunächst unbemerkt als potenzielle Sicherheitsbedrohung für viele Projekte blieb, die libwebp verwenden, darunter 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera und natives Android-Web Browser.

Die überarbeitete kritische Bewertung unterstreicht, wie wichtig es ist, die Sicherheitslücke (die jetzt unter mehreren CVE-IDs mit unterschiedlichen Schweregradbewertungen verfolgt wird) auf diesen Plattformen schnell zu beheben, um die Sicherheit der Benutzerdaten zu gewährleisten.

Ein Google-Sprecher war für eine Stellungnahme nicht sofort erreichbar, als BleepingComputer heute kontaktiert wurde.

Quelle unserer Informationen

  • Claus Strunz Geht'S Noch, Deutschland?: Die Schlimmsten Fehler, Die Unser Land Lähmen - Und 20 Ideen, Wie Es Wieder Besser Wird
    Brand : Börsenmedien / Plassen Verlag, Binding : Broschiert, Edition : 1, Label : Plassen Verlag, Publisher : Plassen Verlag, medium : Broschiert, numberOfPages : 288, publicationDate : 2018-11-22, authors : Claus Strunz, ISBN : 3864705967
  • Als Es Noch Jahreszeiten Gab: Kinderleben In Den 1950er Jahren
    Binding : paperback, Edition : New, Label : ALS ES NOCH JAHRESZEITEN GAB : Kinderleben in den 1950er Jahren, medium : paperback, numberOfPages : 96, publicationDate : 2023-05-22, languages : german, ISBN : 3903259470
  • Matthew Skelton Cirrus Flux: Der Junge, Den Es Nicht Gab
    Brand : Wildschuetz, Binding : Audio CD, Label : Dhv der Hörverlag, Publisher : Dhv der Hörverlag, NumberOfDiscs : 4, NumberOfItems : 4, Format : Audiobook, medium : Audio CD, publicationDate : 2009-08-14, runningTime : 284 minutes, authors : Matthew Skelton, translators : Ulli Günther, Herbert Günther, narrators : Stefan Kaminski, languages : german, ISBN : 3867174717
Jean-Luc Pircard

Jean-Luc Pircard

Je suis un passionné de l'informatique qui aime les défis et les nouvelles technologies. J'aime découvrir de nouveaux systèmes et s'améliorer constamment.

Comments

Leave a comment

Your comment will be revised by the site if needed.