Beschreibung der Schwachstelle:
CVE-2023-4863 ist eine kritische Heap-Pufferüberlauf-Schwachstelle in WebP, ein Raster-Grafik-Dateiformat, das die JPEG-, PNG- und GIF-Dateiformate ersetzt.
Pufferüberläufe können Abstürze und Endlosschleifen verursachen und zur Ausführung von beliebigem Code verwendet werden.
Auswirkungen der Schwachstelle:
Die Schwachstelle kann für die Ausführung von Remote-Code genutzt werden und wurde bereits durch Exploits ausgenutzt. Die Bildverarbeitungskomponente webp wird von Google verwaltet und als Open-Source-Software bereitgestellt und ist in mobilen, PC- und serverseitigen Bildverarbeitungsszenarien weit verbreitet. Die meisten Browser (Chrome, Firefox, Breve, Tor Browser, etc.), viele Linux-Distributionen (Ubuntu, Debian, Gentoo, SUSE, etc.) .) , Passwort-Manager (1Password, BitWarden, usw.) und andere Software (MS Teams, Slack, Telegram, Signal, Basecamp, Discord, GitHub Desktop, usw.).
Aufschlagversion:
libwebp <= 0.5 und < 1.3.2
Chrom/Chrom < 116.0.5845.187
Überprüfung der Schwachstellen:
https://github.com/mistymntncop/CVE-2023-4863
Referenz für die Schwachstelle:
https://nvd.nist.gov/vuln/detail/CVE-2023-4863
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html?m=1
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/webp-codec-library-vulnerability.html
