Centric hat Maßnahmen ergriffen, nachdem kürzlich über eine Sicherheitslücke in der libwebp-Bildbibliothek berichtet wurde, die zum Rendern von Bildern im WebP-Format verwendet wird. Durch diese Schwachstelle könnten böswillige Akteure sogenannte Out-of-bounds Memory Descriptions mit Hilfe von präparierten HTML-Seiten ausführen.
Update 2-10-2023 | 15:00
Das Sicherheitsteam von Centric hat die notwendigen Schritte unternommen, um einen Missbrauch der kürzlich entdeckten Schwachstelle in der Bildbibliothek Libwebp zu verhindern. Wie immer werden wir unsere Systeme weiter überwachen, um die Sicherheit von Daten und Anwendungen zu gewährleisten. Wir werden diese Update-Seite schließen und weiterhin auf neue Entwicklungen achten. Sollte sich die Notwendigkeit ergeben, werden wir unsere Kunden umgehend informieren.
Update 29-9-2023 | 15:00
Bislang gibt es keine Hinweise darauf, dass die WebP-Schwachstelle in einem unserer Systeme oder Dienste ausgenutzt wurde. Wie immer scannen wir unsere Netzwerkumgebung kontinuierlich auf Anomalien.
Sobald neue Informationen verfügbar sind, werden wir diese Seite aktualisieren.
Diese Art von Angriffen kann schwerwiegende Folgen haben, von Abstürzen über die Ausführung von beliebigem Code bis hin zum unbefugten Zugriff auf sensible Daten.
Untersuchung eingeleitet
Das Centric Securityteam hat eine Untersuchung eingeleitet, um maximalen Schutz für Centric und seine Kunden zu gewährleisten. Dazu gehört das Scannen aller Server und Anwendungen auf das Vorhandensein der WebP-Bibliothek und die Überwachung unserer Systeme. Derzeit gibt es keine Hinweise auf einen Missbrauch dieser Sicherheitslücke.
Wir überwachen auch unsere Lieferanten auf die Verfügbarkeit von Updates. Für viele Browser und Linux-Varianten wurden inzwischen Patches zur Verfügung gestellt, die Centric nun auf die verschiedenen Systeme innerhalb unserer Verwaltung ausrollt.
Selbst handeln: Software aktualisieren
Um die mit dieser Sicherheitslücke verbundenen Risiken zu verringern, empfehlen wir unseren Kunden, die von ihnen verwalteten Systeme und Anwendungen selbst zu aktualisieren und die neuesten Sicherheitspatches der jeweiligen Softwarehersteller anzuwenden. Die Aktualisierung von Software ist ein wesentlicher Schritt zum Schutz von Informationen vor dieser Sicherheitslücke.
Die libwebp-Sicherheitslücke wird hauptsächlich in folgenden Programmen gefunden:
- Gängige Webbrowser, darunter Chrome, Firefox, Microsoft Edge und Opera
- Viele Linux-Varianten: Debian, Ubuntu, Alpine, Gentoo, SUSE
- Zahlreiche andere Anwendungen, darunter Microsoft Teams, Slack, Discord, LibreOffice, 1Password, Telegram, Signal Desktop
Weitere Informationen
Kunden, die Fragen zur WebP-Schwachstelle haben, können sich an Centric wenden, und zwar unter security@centric.eu.