Kritische Sicherheitslücke in libwebp aktiv ausgenutzt – Höchstwertung im CVSS

Google hat eine neue Sicherheitslücke in der libwebp-Bildbibliothek zur Darstellung von Bildern im WebP-Format identifiziert, die aktiv ausgenutzt wird. Diese wird unter der Kennung CVE-2023-5129 verfolgt und erhielt die Höchstbewertung von 10,0 im CVSS-Bewertungssystem. Die Schwachstelle rührt von einem Problem im Huffman-Codierungsverfahren her. Angreifer könnten durch eine speziell gestaltete WebP-Datei Daten außerhalb des zugewiesenen Speicherbereichs schreiben, was zu Sicherheitsproblemen führt.

Früher hatten bereits Apple, Google und Mozilla Korrekturen für einen Fehler veröffentlicht, der bei der Verarbeitung eines speziell gestalteten Bildes zur Ausführung von beliebigem Code führen könnte. Beide Fehler scheinen dasselbe grundlegende Problem in der Bibliothek zu behandeln.

Citizen Lab berichtete, dass eine der Schwachstellen genutzt wurde, um die Spionagesoftware Pegasus über eine iMessage-Kette namens BLASTPASS einzuschleusen. Weitere technische Details sind derzeit nicht bekannt.

Trotz der ursprünglichen Klassifikation der Sicherheitslücke CVE-2023-4863 als ein Problem von Google Chrome wurde erkannt, dass fast jede Anwendung, die die libwebp-Bibliothek verwendet, ebenfalls betroffen ist. Eine Analyse von Rezillion zeigte, dass zahlreiche Anwendungen und Systeme anfällig sind.

Die Bedeutung von libwebp wächst, da es JPEG und PNG in Bezug auf Größe und Geschwindigkeit übertrifft. Dies führt zu einer erweiterten Angriffsoberfläche, was sowohl für Endnutzer als auch für Organisationen besorgniserregend ist.

Google hat kürzlich Fixes für CVE-2023-4863 für ChromeOS und ChromeOS Flex veröffentlicht. Zusätzlich hat das Google Project Zero neue Informationen zu Angriffen im Dezember 2022 veröffentlicht, bei denen Sicherheitslücken genutzt wurden, um Android-Geräte von Samsung in den V.A.E. anzugreifen.

Es wird angenommen, dass diese Sicherheitslücken in Kombination mit anderen von einem Kunden oder Partner der spanischen Spionagesoftware-Firma Variston IT genutzt wurden. Sicherheitsforscher betonen die Bedeutung von Drittanbieter-Treibern in Android, die Angriffspunkte darstellen.

Es ist entscheidend, dass Unternehmen und Nutzer die Sicherheitsupdates so schnell wie möglich installieren, um sich vor diesen kritischen Bedrohungen zu schützen.