WebP is een beeldformaat dat je steeds vaker tegenkomt. De libwebpcode zorgt ervoor dat het prentje in je webrauzer of berichtentoep ook wordt getoond. Dat is open (vrij bruikbare) code en kennelijk is er in de ontstaansgeschiedenis iets mis gegaan waardoor via die kwetsbaarheid een zogeheten bufferoverloop zou kunnen worden veroorzaakt en een aanvaller via een gemanipuleerd webp-plaatje en kwalijke code op een computer of systeem zou kunnen zetten.
Of dat gevaar ook werkelijk zo groot is is nog niet vastgesteld, maar allerlei bedrijvers van besturingssystemen en webprogramma’s hebben al ‘pleisters’ voor het lek uitgebracht. Opmerkelijk is wel dat volgens der Spiegel de kwetsbaarheid in de libwebpode al al in 2014 zou zijn geïntroduceerd en dat die kennelijk nu pas is ontdekt.

Uiteraard is en blijft het verstandig je toepassingen en bestuurssystemen bij te houden. Foutjes zijn gauw gemaakt en die kunnen in een bedrijfstak waar veel code wordt overgenomen (vooral vrij verkrijgbare) , zoals in dit geval snel voor een groot probleem kan zorgen. Allerlei toepassingen zoals webrauzers maar ook tekenprogramma’s kunnen zijn getroffen als ze die ‘lekke’ code incorporeren in de toep. Ga er maar van uit dat de wapenwebloop hier niet zal stoppen…

Bron: der Spiegel