VP8-Videokodierung: Zero-Day-Schwachstelle betrifft weit mehr als nur Chrome
Google hat in dieser Woche eine kritische Zero-Day-Schwachstelle in Chrome gepatcht. Diese betrifft aber ebenso andere gängige Webbrowser sowie zahlreiche weitere Anwendungen, die von der VP8-Videokodierung der weitverbreiteten Code-Bibliothek libvpx Gebrauch machen.
Pufferüberlauf-Schwachstelle mit großer Tragweite
Laut Google wird die als CVE-2023-5217 registrierte Sicherheitslücke bereits aktiv ausgenutzt. Die Schwachstelle könne etwa dafür missbraucht werden, einen Heap-Pufferüberlauf auszulösen, der Angreifern nicht selten die Möglichkeit gibt, gezielt Schadcode auf einem Zielsystem auszuführen. Auch für Firefox und Thunderbird stehen einem gestern veröffentlichten Sicherheitshinweis von Mozilla zufolge bereits entsprechende Patches bereit.
Wie aus einem Bericht von Ars Technica hervorgeht, sind aber längst nicht nur Webbrowser betroffen. Allein für die Linux-Systeme Ubuntu und Debian gebe es demnach Hunderte von Paketen, die Abhängigkeiten zu der anfälligen Bibliothek aufweisen. Die Liste der Software und Unternehmen, die mit libvpx arbeiten, lese sich „wie das Who is Who des Internets“ – auch Namen wie Skype, Adobe, VLC und Android seien dort vertreten.
Betrifft wohl nur die Kodierung von VP8
Die Abhängigkeit von der Bibliothek allein reicht aber offenbar nicht aus, um zu bewerten, ob eine Anwendung für CVE-2023-5217 anfällig ist. Laut Google bezieht sich die Schwachstelle lediglich auf die Kodierung von VP8-Videos, von einer Dekodierung ist hingegen keine Rede. Folglich scheint es für die Ausnutzung der Sicherheitslücke nicht auszureichen, lediglich ein speziell präpariertes Video abzuspielen. Die Anwendung muss stattdessen in der Lage sein, anhand von libvpx einen neuen VP8-Clip zu erstellen. All jene Software, die auf keinerlei VP8-Kodierung zurückgreift, dürfte also nicht anfällig sein – ein Sachverhalt, der sich vom durchschnittlichen Endbenutzer aber wohl kaum abschließend bewerten lässt.
In welchem Ausmaß die Sicherheitslücke bereits ausgenutzt wird, ist noch unklar. Die Sicherheitsforscherin Maddie Stone von Googles Threat Analysis Group (TAG) wies jedoch in einem X-Beitrag darauf hin, dass ein kommerzieller Überwachungsanbieter bereits auf CVE-2023-5217 zurückgreife. Folglich ist anzunehmen, dass darüber schon der ein oder andere Staatstrojaner auf einem Zielgerät eingeschleust wurde. Weitere Details dazu, wie umfassend die Schwachstelle bislang eingesetzt wird, gelangen aber sicherlich erst in den nächsten Tagen an die Öffentlichkeit.
Mit WebP gab es kürzlich ähnliche Probleme
Im Grunde ist die Sicherheitslücke in libvpx vergleichbar mit einer anderen Schwachstelle, die Google erst vor wenigen Wochen gepatcht hatte. Diese hatte der Konzern unter CVE-2023-4863 fälschlicherweise erst als reinen Chrome-Bug klassifiziert. Unter Sicherheitsforschern führte dies aber zu Verwunderung, da sich das Problem eigentlich auf einen Heap-Pufferüberlauf in der offenen WebP-Bibliothek libwebp bezog – und damit ebenfalls auf unzählige weitere Anwendungen, die davon Gebrauch machen. Das bloße Öffnen eines speziell präparierten Bildes im WebP-Format reicht in diesem Fall aus, um die Schwachstelle auszunutzen.
Ein Bericht von Stack Diary nannte als anfällige Anwendungen nicht nur weitere Chromium-basierte Webbrowser wie Microsoft Edge und Brave, sondern auch Firefox, den Tor-Browser, Thunderbird, Gimp, Inkscape, LibreOffice, Telegram, 1Password und viele weitere. Darüber hinaus hieß es damals, das Problem betreffe ebenso eine Vielzahl von Apps, die unter Einsatz von Frameworks wie Electron oder Flutter für verschiedene Plattformen erstellt wurden. Viele der anfälligen Anwendungen haben inzwischen entsprechende Patches erhalten, wann dies für ausnahmslos alle gilt, lässt sich angesichts der Tragweite des Problems aber kaum überblicken.
Google hatte der WebP-Schwachstelle kürzlich mit CVE-2023-5129 eine neue CVE-ID mit dem maximal möglichen CVSS von 10 zugewiesen, um dem Ausmaß des Problems gerecht zu werden. Die neue ID wurde jedoch inzwischen offenbar zurückgewiesen und als Duplikat von CVE-2023-4863 eingestuft. In der Beschreibung zu letzterer ID erscheint dafür nun der Hinweis, dass sich die Schwachstelle nicht nur auf Chrome, sondern ebenso auf libwebp bezieht.
Patchen lohnt sich dieser Tage ganz besonders
Sowohl CVE-2023-5217 als auch CVE-2023-4863 stellen für Endanwender ein ernstzunehmendes Problem dar. In beiden Fällen ist nur eine sehr geringfügige Nutzerinteraktion erforderlich, um Schadcode auf einem Zielsystem auszuführen – beispielsweise durch den Besuch einer speziell präparierten Webseite. Der Webbrowser erweist sich damit wieder einmal als eines der kritischsten Softwaretools, wenn es um die Verbreitung von Schadsoftware geht. Aber auch in Bezug auf andere Applikationen, die auf libvpx und libwebp zurückgreifen, ist die Gefahr nicht zu unterschätzen. Insofern sind Anwender dieser Tage besonders dazu angehalten, ihre Systeme und Apps stets auf dem neusten Stand zu halten und verfügbare Sicherheitsupdates möglichst zeitnah zu installieren.