Alle grote browsers hebben deze week een beveiligingspatch moeten uitrollen. Hackers stoppen kwaadaardige code in WebP-bestanden om het geheugen aan te tasten.
De kwetsbaarheid krijgt de naam CVE-2023-4863 en hoewel er nog geen score berekend is, beschouwt het NIST de bug wel als zeer ernstig. Ook Google waarschuwt voor actief misbruik van de kwetsbaarheid. Aanvallers creëren kwaadaardige WebP-bestanden om een heap buffer overflow te veroorzaken. Het WebP-protocol is een populaire standaard om mediabestanden in te laden op webpagina’s. Google introduceerde WebP rond 2010 om bijlagen lichter te maken en laadtijden van websites te bevorderen.
Hackers die de kwetsbaarheid willen uitbuiten, proberen WebP-bestanden zo vol mogelijk met kwaadaardige code te stoppen om het browsergeheugen te laten ‘overlopen’ als het bestand geladen wordt. De ‘goede’ code wordt dan vervangen door de kwaadaardige code waarmee aanvallers controle over je apparaat nemen.
Snelle reactie
Gelukkig was er vanuit het browserlandschap een unanieme snelle reactie. De patches die deze week uitrolde, illustreren hoe wijdverspreid de kwetsbaarheid is. Google was op maandag de eerste die een update uitrolde voor Chrome, deze week volgde ook nog Microsoft, Mozilla en Brave.
Om WebP-bestanden met een gerust hart te kunnen inladen, dienen bovengenoemde browsers naar de volgende versies te zijn bijgewerkt:
- Google Chrome: versie 116.0.5845.187/.188 (Windows) of versie 116.0.5846.187 (Mac / Linux)
- Firefox: versie 117.0.1
- Microsoft Edge: versie 116.0.1938.81
- Brave: versie 1.57.64
De impact van de kwetsbaarheid strekt zich zelfs voorbij het browserlandschap. Ook berichtenapps Signal en Telegram moesten deze week een noodpatch uitrollen, net zoals de Microsoft 365-concurrent LibreOffice.