BE-2023-0001: Seequent Leapfrog WebP Heap-basierte Schwachstelle mit Pufferüberlauf
Bentley-ID: BE-2023-0001
CVE-ID: CVE-2023-4863
Schweregrad: 8
CVSS v3.1: AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Veröffentlichungsdatum: 27.10.2023
Überarbeitungsdatum: 27.10.2023
Zusammenfassung
LeapFrog-Anwendungen können beim Öffnen von in böser Absicht erstellten WebP-Dateien von einer Heap-basierten Schwachstelle mit Pufferüberlauf betroffen sein. Die Ausnutzung dieser Schwachstellen könnte zur Offenlegung von Informationen und zur Ausführung von beliebigem Code führen.
Details
Die Verwendung einer betroffenen Version einer Leapfrog-Anwendung zum Öffnen einer WebP-Datei, die in böser Absicht erstellte Daten enthält, kann einen Heap-basierten Pufferüberlauf in der libwebp-Bibliothek erzwingen. Die Ausnutzung dieser Schwachstelle beim Parsen von WebP-Dateien könnte es einem Angreifer ermöglichen, Code im Kontext des aktuellen Prozesses auszuführen.
Affected Versions
| Applications | Affected Versions | Mitigated Versions |
| Seequent Leapfrog | 2023.1.* und frühere Versionen | 2023.2 und größer |
Empfohlene Schutzmaßnahmen
Seequent, The Bentley Subsurface Company, empfiehlt die Aktualisierung auf die neuesten Versionen von Leapfrog-Anwendungen. Generell wird empfohlen, nur WebP-Dateien zu öffnen, die aus vertrauenswürdigen Quellen stammen.
Acknowledgement
Revision History
| Date | Beschreibung |
| 27.10.2023 | Erste Version dieses Hinweises |
