Varsel: Kritiske sårbarheder i libwebp og libvpx

Center for Cybersikkerhed er blevet bekendt med sårbarheder i de bredt anvendte weblibp og libvpx kodebiblioteker. Sårbarhederne tillader i yderste konsekvens fjernafvikling af arbitrær kode via ondsindet konstrueret html-sider eller billeder.

Yderligere information

Libwebp er et bredt anvendt kodebibliotek, der bruges til at encoding og decoding af billedformatet WebP samt at vise, multiplekse og animere WebP billeder.

Libvpx er et software-video-codec-bibliotek og fungerer som software implementerings reference for VP8- og VP9-videokodningsformaterne.

Begge biblioteker er udviklet af Google.

Sårbarhederne bliver sporet som henholdsvis CVE-2023-4863 og CVE-2023-5217 og er begge sårbarheder af typen ”heap buffer overflow” i libwebp og vp8 encoding i libvpx.

Til trods for at CVE-2023-4863 først blev registreret som en sårbarhed i Google Chrome, så er den nu bekræftet som en generel libwebp sårbarhed.

På nuværende tidspunkt er de nærmere detaljer om CVE-2023-5217 ukendt, idet Google holder detaljerne herom tilbage indtil størstedelen af deres brugere har haft mulighed for at opdatere Google Chrome. Google rapporterer dog, at CVE-2023-5217 ses aktivt udnyttet.

Anbefaling

Da sårbarhederne muligvis er koblet til tidligere identificerede sårbarheder, kan der allerede nu være udsendt opdateringer der kan fjerne sårbarhederne i specifikke applikationer. Men da der pt. mangler detaljerede oplysninger om CVE-2023-5217, bør man som bruger være særlig opmærksom på nye opdateringer til de applikationer man gør brug af og sikre, at disse opdateringer bliver udrullet hurtigt.

I tilfælde af at man selv har ansvaret for udvikling og vedligehold af en eller flere applikationer, eventuelt gennem et softwareudviklingsfirma, bør man sikre sig en viden om hvorvidt disse anvender softwarebiblioteket libwebp. Her kan man eventuelt gøre brug af en sårbarhedsskanner, da disse ofte vil kunne afdække om biblioteket er anvendt og at applikationen derfor er sårbar.

Anvendes libwebp i ens applikationer, bør man sikre, at applikationerne opdateres til nyeste version af software-biblioteket, 1.3.2.

Anvendes libvpx i ens applikationer, bør man sikre, at applikationerne opdateres, så snart en ny og rettet version af software-biblioteket foreligger. På nuværende tidspunkt er der ingen informationer om hvornår det kan forventes, at sådan version foreligger.

Center for Cybersikkerhed vil fremadrettet informere om sårbarhederne så snart yderligere informationer foreligger. CFCS opfordrer til, at indikatorer, tekniske konklusioner samt anden relevant viden om sikkerhedshændelsen i størst muligt omfang deles med Center for Cybersikkerhed og sektorens DCIS.