Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Google on julkaissut haavoittuvuuden (CVE-2023-4863) libwebp-ohjelmistokirjastossa. Haavoittuvuus mahdollistaa mielivaltaisen koodin suorittamisen käyttäjän tietokoneessa, jos haavoittuvaa kirjastoa käyttävällä selaimella lataa haitallisen verkkosivun. Google on arvioinut haavoittuvuuden vakavuudeksi (CVSS) täydet 10 pistettä.

Haavoittuvuus on alun perin julkaistu Chrome-selaimen haavoittuvuutena, mutta se koskee myös muita kyseistä kirjastoa käyttäviä ohjelmistoja. Google Chromen uusimmat versiot eivät ole haavoittuvia. Myös Apple on jo julkaissut päivityksen, joka korjaa haavoittuvuuden. Libwebp-kirjasto on yleisesti käytetty eri ohjelmissa, joten haavoittuvuuden korjaavia ohjelmistopäivityksiä odotetaan myös muilta ohjelmistovalmistajilta. Kyseistä kirjastoa käyttävät esimerkiksi 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera ja Android-käyttöjärjestelmän selaimet. Haavoittuvuus koskee kaikkia tietokoneiden ja kyseisten ohjelmistojen käyttäjiä. Kyberturvallisuuskeskus suosittelee päivittämään mainitut tuotteet uusimpiin versioihin ja seuraamaan mikäli käyttämääsi ohjelmistoon tulee vielä uusia päivityksiä.

 

 

Kohde

  • Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

  • Etäkäyttö

Vaikutukset

  • Palvelunestohyökkäys
  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Ei julkaistu

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvuuden kohde

Kaikki libwebp-kirjastoa käyttävät ohjelmistot, mm. Google Chrome, 1Password, Signal, Safari, Mozilla Firefox, Microsoft Edge, Opera ja Android-käyttöjärjestelmän selaimet

Mistä on kysymys?

Asenna haavoittuvuuden korjaava ohjelmistopäivitys heti kun sellainen on saatavilla.

Mitä voin tehdä?

Korjattu oikea CVE-tunniste