Update 02.10.2023: Inzwischen erscheinen immer mehr Updates, um die gefährliche Sicherheitslücke zu schließen. Darunter für LibreOffice (7.6.2 und 7.5.7) sowie Trillian IM (6.5.0.32). Wenn Sie eines dieser beiden Programme benutzen, sollten Sie dringend die neueste Version installieren.
Tipp: PC-Welt veröffentlicht jede Woche die Übersicht “Die neuesten Sicherheits-Updates“.
Update Ende
Google hat eine bereits bekannte Sicherheitslücke mit einer neuen CVE-ID mit dem höchsten Schweregrad versehen. Auslöser dafür ist, dass die ursprünglich als Chrome-Bug klassifizierte Sicherheitslücke doch deutlich mehr Anwendungen betrifft.
Es handelt sich dabei um eine WebP-Schwachstelle. Das Bilder-Dateiformat WebP ist besonders im Netz beliebt, da es eine gute Balance zwischen Speichergröße und Qualität bietet. Doch die Schwachstelle ermöglicht es Angreifern, mithilfe eines speziell gestalteten WebP-Bildes einen Heap-Pufferüberlauf (Heap-Buffer-Overflow) zu erzeugen und schädlichen Code auszuführen. Das Bild muss dafür in einer Anwendung geöffnet werden, bei Browsern reicht das bloße Aufrufen einer Website. Der im Hintergrund ausgeführte Code kann dann beispielsweise Schadsoftware installieren.
Zahlreiche bekannte Anwendungen betroffen
Die Schwachstelle, die von Apples Security Engineering and Architecture (SEAR) und dem Citizen Lab an der Munk School der Universität Toronto entdeckt wurde, wurde zu Beginn fälschlicherweise als reiner Chrome-Bug eingestuft. Gängige Webbrowser wurden rasch mit einem Sicherheitsupdate geschützt, wie wir hier berichteten: Notfall-Updates: Alle Browser weisen eine 0-Day-Lücke auf – das müssen Sie jetzt tun.
Doch wie sich nun herausgestellt hat, sind auch deutlich mehr Anwendungen davon betroffen.
Die Sicherheitslücke ist der offenen Libwebp-Bibliothek zuzuordnen, von der zahlreiche Programme Gebrauch machen. So könnten auch Anwendungen wie Gimp, Libreoffice, Telegram, 1Password und viele andere Ziele eines Angriffs werden. Als Folge wurde der CVSS, ein standardisierter Score zur Bewertung von Sicherheitslücken, auf die höchste Stufe 10.0 angehoben.
So schützen Sie sich
Als Anwender haben Sie im Grunde nur eine Möglichkeit, sich vor dieser Sicherheitslücke zu schützen: Sorgen Sie dafür, dass Sie die neuesten Patches installiert haben. Viele betroffene Anwendungen haben bereits Sicherheitsupdates veröffentlicht, welche die Lücke schließen.
Ansonsten gilt, was beim Surfen im Netz immer gelten sollte. Laden Sie keine Dateien aus unbekannten Quellen herunter, achten Sie gerade bei Links in Mails darauf, dass diese nur zu sicheren Seiten führen.
Mehr Tipps, wie Sie im Netz sicher bleiben, lesen Sie hier: Mit diesen 5 Tipps surfen Sie sicher im Internet
Online Services, Security Software and Services