Zero-Day-Sicherheitsluecke im WebP-Grafikformat CVE-2023-4863 / Zero-day vulnerability in WebP graphics format CVE-2023-4863

- english version below -

Es wurden kritische Schwachstellen in der weit verbreiteten Bibliothek libwebp gemeldet. Das kompromittierte WebP-Grafikformat nutzen zahlreiche Anwendungen.

Betroffene Anwendungen sind unter anderen die Web-Browser Google Chrome, MS Edge und Firefox, Skype, Java Bibliothek electron, VLC-Player und viele mehr. Zuerst wurde CVE-2023-5217 gemeldet, diese wurde allerdings durch CVE-2023-4863 ersetzt. Laut Google betrifft die Zero-Day-Lücke die Video- und Bildkodierung, die in zahlreichen Anwendungen zum Einsatz kommt. Die Schwachstelle kann demnach bereits über die Anzeige eines präparierten Bildes ausgenutzt werden. Es finden sich Hinweise auf deren Ausnutzung.

Diese Schwachstelle wird als kritisch eingestuft.

Wir bitten die eingesetzten Komponenten auf Updates hin zu überprüfen und wenn verfügbar diese Updates zeitnah zu installieren.

Vielen Dank für Ihre Mitarbeit.
IT Sicherheit 

------------

Critical vulnerabilities in the widely used libwebp library have been reported. The compromised WebP graphics format is used by numerous applications.

Affected applications include Google Chrome, MS Edge and Firefox web browsers, Skype, Java library electron, VLC player and many more. First reported was CVE-2023-5217, however, this has been replaced by CVE-2023-4863. According to Google, the zero-day vulnerability affects video and image encoding, which is used in numerous applications. According to the report, the vulnerability can already be exploited by displaying a crafted image. There is evidence of its exploitation.

This vulnerability is rated as critical.

We ask you to check the used components for updates and to install these updates promptly if available.

Thank you for your cooperation.
IT Security