Was ist passiert?

Am 06.09.2023 hat Apples Security Engineering and Architecture Details zu einer kritischen Schwachstelle in der WebP-Bibliothek Libwebp (CVE-2023-4863) veröffentlicht. Diese Schwachstelle ermöglicht einem Angreifer die Ausführung von Schadcode auf einem System, indem er ein speziell gestaltetes Bild im WebP-Format verwendet. Das Problem besteht in einem Heap-Pufferüberlauf, der durch das manipulierte Bild ausgelöst wird. Beunruhigend ist, dass der Angreifer nur das Bild in einer der anfälligen Anwendungen öffnen muss, um den Angriff auszulösen. Im Falle eines Webbrowsers reicht sogar der Besuch einer präparierten Webseite aus, um die Schwachstelle auszunutzen.

Ursprünglich wurde diese Schwachstelle nur dem Google Chrome Browser zugeschrieben, mittlerweile ist jedoch bekannt, dass weitaus mehr Programme betroffen sind. In erster Linie sind die gängigen Browser wie Chrome, Firefox und Edge gefährdet. Aber auch viele andere Programme, die in der Lage sind WebP-Bilder darzustellen oder die Bibliothek Libwebp verwenden.

Weiterführende Links:

https://www.bleepingcomputer.com/news/security/google-assigns-new-maximum-rated-cve-to-libwebp-bug-exploited-in-attacks/

https://www.heise.de/news/Unzaehlige-Anwendungen-betroffen-Chaos-bei-WebP-Luecke-9319783.html

 

Wie groß ist die Gefahr dieser Schwachstelle?

Zwischenzeitlich wurde sogar ein neuer CVE für diese Schwachstelle erstellt (CVE-2023-5129), dieser hatte die höchstmögliche Bewertung von 10/10. Inzwischen wurde dieser CVE aber wieder zurückgezogen, da es sich um ein Duplikat von CVE-2023-4863 handelt, der mit 8.8/10 bewertet wurde.

Da offensichtlich das bloße Anzeigen von WebP-Bildern bereits ausreicht, um diese Schwachstelle auszunutzen, muss von einer großen Gefahr ausgegangen werden, wenn die betroffenen Programme noch mit einer verwundbaren Version eingesetzt werden.

Aus unserer Sicht, sind hier durchaus gewisse Parallelen zur Log4j Schwachstelle zu ziehen. Wir berichteten darüber im Dezember 2021.

https://make-it-eazy.de/2021/12/15/sicherheitsluecke-in-log4j-verstaendlich-erklaert/

Bei Log4j handelt es sich ebenfalls um eine Bibliothek, die in vielen Programmen verwendet wird und die Lage zunächst unklar war, was nun alles betroffen ist.

Wer ist von dieser Sicherheitslücke betroffen?

Prinzipiell ist jeder betroffen, der einen Webbrowser benutzt oder andere Programme, welche die Libwebp Bibliothek einsetzen. Für die meisten Programme gibt es mittlerweile Updates, die diese Lücke schließen. Allerdings gibt es zum jetzigen Zeitpunkt noch kein abschließendes Bild darüber, welche Programme betroffen sind. Definitiv betroffen sind z.B. folgende Programme: Gimp, Inkscape, Libreoffice, Telegram, Signal, Thunderbird und 1Password. Sowie die bereits oben erwähnten Browser.
Weiterhin gibt es auf Github noch eine Liste, der betroffenen Programme, die das Electron Framework einsetzen. In diesem Framework wird ebenfalls die Libwebp Bibliothek verwendet.

https://gist.github.com/mttaggart/02ed50c03c8283f4c343c3032dd2e7ec

 

Wie sollten Sie reagieren?

Grundsätzlich sollte Ihr Unternehmen ein Prozess zur Schwachstellenerkennung und des Patchmanagements haben. Sie müssen einen Überblick darüber haben, welche Software in welcher Version eingesetzt wird. Nur so können Sie beurteilen, ob Sie betroffen sind oder nicht. Wichtig ist auch, dass verfügbare Updates und Patches zeitnah und möglichst automatisiert installiert werden. So werden beispielsweise Browser-Updates regelmäßig automatisch installiert und beim Neustart des Browsers aktiv.

Als IT-Dienstleister übernehmen wir für unsere Kunden im Rahmen des Managed Client Vertrags die Schwachstellenerkennung und das Patchmanagement. Durch den Einsatz von Management-Tools können wir jederzeit sagen, welche Software bei unseren Kunden im Einsatz ist und ob eine Schwachstelle vorliegt. Auch das zeitnahe Einspielen verfügbarer Sicherheitsupdates wird von uns durchgeführt.

Wenn Sie weitere Informationen zu dem Thema oder wie Sie Ihre IT schützen können, erhalten möchten, können Sie uns jederzeit gerne kontaktieren und einen Termin zu einem kostenlosen Erstgespräch buchen.
Weiterhin empfehlen wir auch unser kostenloses Whitepaper “Wie schütze ich mein Unternehmen gegen Cyberattacken”.