Vakava haavoittuvuus libwebp-kirjastossa
Haavoittuvuus17/2023CVSS 10CVE-2023-4863 (Ulkoinen linkki)
Google on julkaissut haavoittuvuuden (CVE-2023-4863) libwebp-ohjelmistokirjastossa. Haavoittuvuus mahdollistaa mielivaltaisen koodin suorittamisen käyttäjän tietokoneessa, jos haavoittuvaa kirjastoa käyttävällä selaimella lataa haitallisen verkkosivun. Google on arvioinut haavoittuvuuden vakavuudeksi (CVSS) täydet 10 pistettä.
Haavoittuvuus on alun perin julkaistu Chrome-selaimen haavoittuvuutena, mutta se koskee myös muita kyseistä kirjastoa käyttäviä ohjelmistoja. Google Chromen uusimmat versiot eivät ole haavoittuvia. Myös Apple on jo julkaissut päivityksen, joka korjaa haavoittuvuuden. Libwebp-kirjasto on yleisesti käytetty eri ohjelmissa, joten haavoittuvuuden korjaavia ohjelmistopäivityksiä odotetaan myös muilta ohjelmistovalmistajilta. Kyseistä kirjastoa käyttävät esimerkiksi 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera ja Android-käyttöjärjestelmän selaimet. Haavoittuvuus koskee kaikkia tietokoneiden ja kyseisten ohjelmistojen käyttäjiä. Kyberturvallisuuskeskus suosittelee päivittämään mainitut tuotteet uusimpiin versioihin ja seuraamaan mikäli käyttämääsi ohjelmistoon tulee vielä uusia päivityksiä.
Kohde
- Työasemat ja loppukäyttäjäsovellukset
Hyökkäystapa
- Etäkäyttö
Vaikutukset
- Palvelunestohyökkäys
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
- Käyttövaltuuksien laajentaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Kaikki libwebp-kirjastoa käyttävät ohjelmistot, mm. Google Chrome, 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera ja Android-käyttöjärjestelmän selaimet
Mistä on kysymys?
Asenna haavoittuvuuden korjaava ohjelmistopäivitys heti kun sellainen on saatavilla.
Mitä voin tehdä?
Korjattu oikea CVE-tunniste