Das Notfall-Chrome-Update behebt eine kritische WebP-Schwachstelle

Vor etwas mehr als 24 Stunden hat Google ein Update für Chrome veröffentlicht, das speziell die kritische Schwachstelle CVE-2023-4863 im WebP-Bildformat behebt. Diese Schwachstelle wurde von Experten des Citizen Lab der University of Toronto gemeldet. Das Update gilt sowohl für den stabilen als auch für den erweiterten Zweig, wobei die Versionen 116.0.5845.187 für Mac und Linux und 116.0.5845.187/.188 für Windows verfügbar sind. Insbesondere Cyberkriminelle haben diese Sicherheitslücke bereits ausgenutzt.

CVE-2023-4863 ist eine Pufferüberlauf-Schwachstelle in WebP, einem von Google entwickelten Bildformat. Dieses für die hochwertige Bildkomprimierung im Internet weit verbreitete Format wurde leider zum Ziel von Angreifern, die diese Schwachstelle in einem offenen Format entdeckten und ausnutzten.

Der Angriff basiert auf der Technik des Pufferüberlaufs, die zur Ausführung von Schadcode führen kann. Ein ähnliches Problem im Zusammenhang mit WebP wurde kürzlich von Apple-Ingenieuren behoben. Der von Citizen Lab entdeckte Exploit trägt den Namen BLASTPASS. Was es besonders besorgniserregend macht, ist, dass keine Benutzerinteraktion erforderlich ist, damit die Pegasus-Spyware heruntergeladen werden kann, nachdem ein bösartiges Bild entdeckt wurde.

WebP wird von vielen Chromium-basierten Browsern wie Edge, Opera und Vivaldi sowie verschiedenen Bildbearbeitungsprogrammen unterstützt. Um die Nutzer zu schützen, hat Google beschlossen, die vollständigen Details der Sicherheitslücke erst dann offenzulegen, wenn ein erheblicher Teil der Chrome-Nutzer ihre Browser aktualisiert hat. Wenn festgestellt wird, dass die Sicherheitslücke auch die in anderen Projekten verwendete WebP-Bibliothek betrifft, werden die Informationen darüber für einen bestimmten Zeitraum geheim gehalten.

Sie finden das offizielle Wort von Google Hier.