Google har gett en redan känd säkerhetssårbarhet ett nytt CVE-ID med högsta svårighetsgrad. Anledningen till detta är att sårbarheten, som ursprungligen klassades som en Chrome-bugg, påverkar betydligt fler applikationer, eftersom det istället är en WebP-sårbarhet.
WebP-bildfilformatet är särskilt populärt på webben eftersom det erbjuder en bra balans mellan lagringsstorlek och kvalitet. Men sårbarheten tillåter angripare att använda en specialgjord WebP-bild för att skapa ett överflöd av heapbuffert och exekvera skadlig kod. För att göra detta måste bilden öppnas i ett program; i webbläsare räcker det att bara ringa upp en webbplats. Koden som körs i bakgrunden kan sedan installera skadlig programvara, till exempel.
Många kända applikationer påverkas
Sårbarheten, som upptäcktes av Apples Security Engineering and Architecture (SEAR) och Citizen Lab vid University of Torontos Munk School, klassades initialt felaktigt som en ren Chrome-bugg; vanliga webbläsare skyddades snabbt med en säkerhetsuppdatering. Men som det nu har visat sig påverkas också betydligt fler ansökningar.
Sårbarheten är relaterad till det öppna Libwebp-biblioteket, som används av många program. Således kan applikationer som Gimp, Libreoffice, Telegram, 1Password och många andra också bli mål för en attack. Som ett resultat har CVSS, ett standardiserat betyg för att utvärdera säkerhetssårbarheter, höjts till den högsta nivån 10.0.
Hur du skyddar dig själv
Som användare har du i princip bara ett sätt att skydda dig mot denna sårbarhet: Se till att du har de senaste patcharna installerade. Många berörda applikationer har redan släppt säkerhetsuppdateringar som täpper till säkerhetshålet, inklusive webbläsare och Libreoffice.
Annars gäller fortfarande det som alltid ska gälla när man surfar på nätet här. Ladda inte ner filer från okända källor och se till att länkar i e-postmeddelanden endast leder till betrodda webbplatser.
Vidare läsning: 5 enkla uppgifter som ökar din säkerhet
Den här artikeln översattes från tyska till engelska och publicerades ursprungligen på pcwelt.de.
