mboost-dp1
WebP ups
- Forside
- ⟨
- Forum
- ⟨
- Tagwall
#1 Dette problem påvirker ikke bare Chrome, som oprindeligt rapporteret i diverse medier, libwebp bliver brugt overalt, fra: https://stackdiary.com/critical-vulnerability-in-w...
Important: Let me make it perfectly clear that this vulnerability doesn't just affect web browsers, it affects any software that uses the libwebp library. This includes Electron-based applications, for example - Signal. Electron patched the vulnerability yesterday. Also, software like Honeyview (from Bandisoft) released an update to fix the issue. CVE-2023-4863 was falsely marked as Chrome-only by Mitre and other organizations that track CVE's and 100% of media reported this issue as "Chrome only", when it's not.
Who uses libwebp? There are a lot of applications that use libwebp to render WebP images, I already mentioned a few of them, but some of the others that I know include: Affinity (the design software), Gimp, Inkscape, LibreOffice, Telegram, Thunderbird (now patched), ffmpeg, and many, many Android applications as well as cross-platform apps built with Flutter.
F*cking snaps...
Denne version af firefox er sårbar. Jeg kører update funktionen i mit OS manuelt (kubuntu 22.04) og rebooter ... Ingen forskel. "All snaps up to date" som ovenstående.
Jeg SLUKKER firefox og kører refresh igen:
Så kom den fixede firefox endelig ind. Det er bare ikke godt nok. Snap lægger muligvis stor vægt på ikke at forstyrre brugeren med opdateringer hele tiden. Men når der er en zero-day sårbarhed mangler der godt nok en mere hårdhændet metode til at få tingene opdateret.
$ sudo snap refresh
All snaps up to date.
$ sudo snap list
Name Version Rev Tracking
...
firefox 117.0-2 3068 latest/stable/…
...
Denne version af firefox er sårbar. Jeg kører update funktionen i mit OS manuelt (kubuntu 22.04) og rebooter ... Ingen forskel. "All snaps up to date" som ovenstående.
Jeg SLUKKER firefox og kører refresh igen:
$ sudo snap refresh
firefox 117.0.1-2 from Mozilla refreshed
Så kom den fixede firefox endelig ind. Det er bare ikke godt nok. Snap lægger muligvis stor vægt på ikke at forstyrre brugeren med opdateringer hele tiden. Men når der er en zero-day sårbarhed mangler der godt nok en mere hårdhændet metode til at få tingene opdateret.
#2
Google lavede dette fine libwebp bibliotek og frigav det under en permissive open source licens.
Og alle andre havde to muligheder:
* bruge Google libwebp gratis
* betale dyrt for at udvikle eget bibliotek
Alle valgte det første.
Og generelt vel også fint nok.
Mne det betyder altså at når der er en fejl i libwebp så er det stort set alle programmer som understøtter webp som har et problem.
Google lavede dette fine libwebp bibliotek og frigav det under en permissive open source licens.
Og alle andre havde to muligheder:
* bruge Google libwebp gratis
* betale dyrt for at udvikle eget bibliotek
Alle valgte det første.
Og generelt vel også fint nok.
Mne det betyder altså at når der er en fejl i libwebp så er det stort set alle programmer som understøtter webp som har et problem.
#2
En masse detaljer omkring forskellige CVE, Google og Apple:
https://www.tenable.com/blog/cve-2023-41064-cve-20...
En masse detaljer omkring forskellige CVE, Google og Apple:
https://www.tenable.com/blog/cve-2023-41064-cve-20...
Ny lignende codec ups, severity critical: https://www.cve.org/CVERecord?id=CVE-2023-5217
(Okay, Chrome kalder den severity High, Firefox kalder den Critical)
Heap buffer overflow in vp8 encoding in libvpx in Google Chrome prior to 117.0.5938.132 and libvpx 1.13.1 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High)
(Okay, Chrome kalder den severity High, Firefox kalder den Critical)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.