Vakava haavoittuvuus libwebp-kirjastossa

Google on julkaissut haavoittuvuuden (CVE-2023-4863) libwebp-ohjelmistokirjastossa. Haavoittuvuus mahdollistaa mielivaltaisen koodin suorittamisen käyttäjän tietokoneessa, jos haavoittuvaa kirjastoa käyttävällä selaimella lataa haitallisen verkkosivun. Google on arvioinut haavoittuvuuden vakavuudeksi (CVSS) täydet 10 pistettä.

Haavoittuvuus on alun perin julkaistu Chrome-selaimen haavoittuvuutena, mutta se koskee myös muita kyseistä kirjastoa käyttäviä ohjelmistoja. Google Chromen uusimmat versiot eivät ole haavoittuvia. Myös Apple on jo julkaissut päivityksen, joka korjaa haavoittuvuuden. Libwebp-kirjasto on yleisesti käytetty eri ohjelmissa, joten haavoittuvuuden korjaavia ohjelmistopäivityksiä odotetaan myös muilta ohjelmistovalmistajilta. Kyseistä kirjastoa käyttävät esimerkiksi 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera ja Android-käyttöjärjestelmän selaimet. Haavoittuvuus koskee kaikkia tietokoneiden ja kyseisten ohjelmistojen käyttäjiä. Kyberturvallisuuskeskus suosittelee päivittämään mainitut tuotteet uusimpiin versioihin ja seuraamaan mikäli käyttämääsi ohjelmistoon tulee vielä uusia päivityksiä.

Haavoittuvuuden kohde

Kaikki libwebp-kirjastoa käyttävät ohjelmistot, mm. Google Chrome, 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera ja Android-käyttöjärjestelmän selaimet

Mistä on kysymys?

Asenna haavoittuvuuden korjaava ohjelmistopäivitys heti kun sellainen on saatavilla.

Mitä voin tehdä?

https://www.bleepingcomputer.com/news/security/google-assigns-new-maximum-rated-cve-to-libwebp-bug-exploited-in-attacks/

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Palvelunestohyökkäys

Palvelunestohyökkäyksen tarkoituksena on estää kohdejärjestelmää toimimasta siinä tehtävässä mihin se on tarkoitettu. Hyökkäyksen tarkoituksena voi olla esimerkiksi www- tai sähköpostipalvelimen kuormittaminen runsaalla verkkoliikenteellä.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Tietojen muokkaaminen

Järjestelmään talletettujen tietojen muokkaaminen ei välttämättä edellytä komentojen suorittamista, käyttövaltuuksien laajentamista tai järjestelmään kirjautumista. Esimerkiksi käyttämällä hyväksi www-palvelinohjelmiston haavoittuvuutta voi hyökkääjä luvatta muuttaa palvelimella näkyvien verkkosivujen sisältöä.

Luottamuksellisen tiedon hankkiminen

Luottamuksellisten tietojen hankkiminen kohdejärjestelmästä edellyttää sitä, että sen tietosisältöä, esimerkiksi kiintolevylle talletettuja tiedostoja, pääsee lukemaan luvatta ja välittämään edelleen.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.