Allvarlig sårbarhet i libweb-biblioteket för WebP utnyttjas aktivt

Forskare har upptäckt en säkerhetsbrist i libwebp-bildbiblioteket, som finns i en mängd olika programvaror och plattformar.

Sårbarheten (CVE-2023-4863), som har tilldelats en CVSS-klassning på 8.8, tillåter minneöverskridande skrivning från en angripare. Exploatering sker när en användare öppnar en skadligt utformad bild och därefter kan angriparen exekvera godtycklig kod och komma åt känslig användardata [1,2,3]

Sårbarheten utnyttjas aktivt.

Påverkade produkter

WebP används i många program och operativsystem, bland annat webbläsare (Firefox, Edge, Chrome), Electron och Flutter-applikationer och Linux baserade operativsystem (Debian, Fedora, OpenSUSE).

Produkter och system som använder libWebP-bibliotektet version äldre än 1.3.1 är påverkade.

Se listat produkter som använder libwebP [2,4].

Rekommendationer

CERT-SE rekommenderar verksamheter att identifiera de produkter som använder libWeP och säkerställ att dessa uppdateras eller åtgärdas enligt tillverkarens instruktioner. Om det inte finns tillgänglig säkerhetsuppdatering från tillverkaren, bör inte produkten användas. Produkter som genomför automatiska uppdateringar kan redan ha uppdaterats till en icke-sårbar version.

Källor

[1] https://nvd.nist.gov/vuln/detail/CVE-2023-4863

[2] https://www.cyberkendra.com/2023/09/webp-0day-google-assign-new-cve-for.html#Patch_WebP_0day_Now

[3] https://blog.cloudflare.com/uncovering-the-hidden-webp-vulnerability-cve-2023-4863/

[4] https://www.tenable.com/blog/cve-2023-41064-cve-2023-4863-cve-2023-5129-faq-imageio-webp-zero-days