WebP 0day

Dit is de 24e editie van onze nieuwsbrief.

Vanwege de positieve reacties verzamelen we die ook in onze online blog.

Aarzel niet om dit te delen met collega's en vrienden.
Iedereen kan gratis inschrijven op onze website stopdebandieten.be!

Beste {{contact.first_name}},

Er is een zeer ernstige kwetsbaarheid ontdekt in de WebP-image library. Deze kwetsbaarheid vormt een serieuze bedreiging voor vele softwaretoepassingen en platforms.

Oorspronkelijk gemeld door Apple en Citizen Lab, kreeg deze kwetsbaarheid aanvankelijk de naam CVE-2023-4863 en werd deze specifiek geassocieerd met Google Chrome.

Nu is deze opnieuw geclassificeerd als CVE-2023-5129 en is erkend als een ernstige vulnerability in de libwebp-bibliotheek, met een maximale severity score van 10/10.

De kern van het probleem ligt in het lossless compressiegedeelte van de open-source libwebp-bibliotheek, die verantwoordelijk is voor het coderen en decoderen van afbeeldingen in het WebP-formaat, Bij lossless compression zal de kwaliteit van een afbeelding niet verminderen.

Het betreft een zogenaamd "heap buffer overflow"-probleem binnen het Huffman-coderingsalgoritme dat wordt gebruikt voor de lossless compressie in WebP.

Hackers kunnen misbruik maken van deze fout door WebP-afbeeldingen te creëren en slachtoffers te verleiden om deze afbeeldingen te openen. Hierdoor kunnen ze willekeurige kwaadaardige code uitvoeren op het getroffen systeem en toegang krijgen tot gevoelige gebruikersgegevens.

Ben Hawkes, een voormalige manager van Project Zero, waarschuwt dat Android mogelijk ook kwetsbaar is. Als dit het geval is, zou dit kunnen dat er externe aanvallen op apps zoals Signal en WhatsApp mogelijk zijn. Er zijn patches beschikbaar om deze zeroday te verhelpen, maar het is van cruciaal belang dat gebruikers en organisaties deze patches zo snel mogelijk installeren. Ben deelde ook een Proof of Concept en andere interessante informatie hierover.

In eerste instantie werd deze kwetsbaarheid ten onrechte beschouwd als een probleem dat alleen Google Chrome trof. In werkelijkheid heeft deze gevolgen voor alle software die gebruikmaakt van de WebP-codec via de libwebp-bibliotheek, waaronder ook andere belangrijke webbrowsers zoals Mozilla Firefox, Apple Safari en Microsoft Edge.

Bovendien maken veel andere toepassingen en softwareprojecten gebruik van WebP-afbeeldingsverwerking via libwebp op verschillende besturingssystemen, waaronder Linux, Android devices, Windows, macOS, iOS devices,....

Aangezien de WebP-codec standaard is ingebouwd in Android, zijn alle native browser-apps op Android-apparaten ook kwetsbaar voor deze aanval. Dit is een groot risico voor gebruikers en organisaties.

Volgens een lijst samengesteld op Wikipedia worden de WebP-codec gebruikt door verschillende toepassingen, waaronder:

- 1Password

- balenaEtcher

- Basecamp 3

- Beaker (webbrowser)

- Bitwarden

- CrashPlan

- Discord

- Eclipse Theia

- FreeTube

- GitHub Desktop

- GitKraken

- Joplin

- Keybase

- Lbry

- Light Table

- Logitech Options +

- LosslessCut

- Mattermost

- Microsoft Teams

- MongoDB Compass

- Mullvad

- Notion

- Obsidian

- QQ (voor macOS)

- Quasar Framework

- Shift

- Signal

- Skype

- Slack

- Symphony Chat

- Tabby

- Termius

- TIDAL

- Twitch

- Visual Studio Code

- WebTorrent

- Wire

- Yammer

Wij adviseren dan ook dat op elk platform of elke applicatie die gebruikmaakt van de libwebp-bibliotheek, patches moet uitgerold worden om gebruikers te beschermen.

Enkele van de leveranciers die deze patches hebben uitgebracht, zijn onder andere Google Chrome, Mozilla, Brave Browser, Microsoft Edge, Tor Browser, Opera, Vivaldi, Bitwarden, LibreOffice, Suse, Ubuntu, LosslessCut, NixOS (Nix-pakketbeheer)...

Moest u hierover verder vragen hebben gelieve ons te contacteren op [email protected].

Vriendelijke groeten,

Het Shift Left Security Team

Subscribe en bezoek onze blog!

Copyright © {{right_now.year}}  {{location.name}}, All rights reserved.



Want to change how you receive these emails?
You can unsubscribe from this list.