Sicherheitsrisiko: Warum ihr gerade so ziemlich jeden Browser updaten solltet
Seit zwei Tagen ist eine Schwachstelle im WebP-Code bekannt. Angreifer:innen können sie nutzen, um sich Zugang zu fremden Rechnern zu beschaffen oder Schadsoftware zu installieren – und dies offenbar schon getan haben. Nun haben die ersten Browser-Anbieter reagiert und Sicherheitspatches zur Verfügung gestellt.
Chrome, Mozilla, Edge und Co. reagieren mit Patch
Laut Stackdiary haben Google Chrome, Mozilla Firefox, Brave, Microsoft Edge und Tor Browser ein Update herausgegeben. Browser, die auf Chromium basieren, können demnächst mit einem Patch rechnen, falls es mittlerweile nicht schon bereitsteht. Die Anbieter mussten einräumen, dass die Schwachstelle bereits zu schädlichen Zwecken ausgenutzt wurde.
Nicht nur Chrome, sondern viele andere Browser nutzen das von Google entwickelte Grafikformat WebP zur Bildkompression. Eine Schwachstelle in diesem Programm betrifft also potenziell Millionen Web-User:innen.
National Vulnerability Database stuft Lücke als „kritisch“ ein
Das US-amerikanische National Institut of Standards and Technology (NIST) hat den WebP-Bug in seine National Vulnerability Database (NVB) aufgenommen. Die Sicherheitslücke wird darin als „kritisch“ bewertet.
„Ein Heap-Puffer-Overflow in WebP in Google Chrome vor 116.0.5845.187 ermöglicht es einem:r Angreifer:in, über eine manipulierte HTML-Seite eine Speicherüberschreitung auszuführen“, heißt es in der NVB. Google Chrome wird zwar ausschließlich namentlich genannt, es sind aber auch andere Browser betroffen. Bei Chrome wurde der Fehler aber am 12. September erstmals registriert.
Nicht nur Browser: Diese Apps sind auch betroffen
Laut Stackdiary sind nicht nur Browser von dem Bug betroffen, sondern alle Programme und Apps, die die Lipwebp-Bibliothek zum Rendern von Bildern verwenden. Beispiele sind Affinity, Gimp, Inkscape, LibreOffice, Telegram und Thunderbird. Gefährdet sollen auch Apps sein, die mit dem Google-Tool Flutter gebaut sind.
Nutzer:innen folgender Browserversionen sollten nun dringend ein Update vornehmen:
- Google Chrome: Version 116.0.5846.187 (Mac / Linux); Chrome Version 116.0.5845.187/.188 (Windows)
- Mozilla: Firefox 117.0.1; Firefox ESR 102.15.1; Firefox ESR 115.2.1; Thunderbird 102.15.1; Thunderbird 115.2.2
- Microsoft: Edge Version 116.0.1938.81
- Brave: Brave Browser Version 1.57.64