WebP ist ein beliebtes Dateiformat für komprimierte statische oder animierte Bilder. Es wurde 2010 zuerst veröffentlicht. Und nun haben wir da richtig Ärger. Da gibt es eine als „hoch“ eingestufte Sicherheitslücke im Dateiformat. Der Google Chrome und somit die ganzen Browser mit Chromium Engine (also auch der Edge von Microsoft) warnen, wenn man noch nicht aktuell ist. Aber ganz ehrlich: Unschuldige Bilder als Gefahrenquelle? Das ist dann schon verwegen. Aber es wäre eben auch nicht das erste Mal. Reden wir mal drüber.
Was ist denn WebP nun genau?
Zunächst einmal wird WebP als „weppy“ ausgesprochen. Klingt witzig, ist aber so. Ich kann Bilder verwenden, die Seitenlängen von bis zu 16383 Pixeln haben. Zum Vergleich: Oben das Bild ist 800 Pixel breit und knapp 400 Pixel hoch. Der große Vorteil von WebP ist, dass bei sehr hoher Komprimierung eine bessere Bildqualität als mit JPEG erreicht werden kann. Und die Komprimierung ist besonders effektiv, wenn das verwendete Bild detailarm ist.
Allerdings bringt das Ganze auch einen Pferdefuß mit sich. Denn die Komprimierung mit WebP ist aufgrund der Komplexität deutlich langsamer. Jedenfalls macht es Bilder zum Teil kleiner, was im Internet von entscheidender Bedeutung ist, da dadurch weniger Daten umher getragen werden müssen und z.B. Webseiten deutlich schneller werden. Ich glaube, irgendwo hier im Blog habe ich auch die eine oder andere WebP-Datei, witzigerweise in diesem Artikel von vor ein paar Jahren. Es gibt also Gründe, das Alles einzusetzen.
Wie wird das denn eingesetzt?
Jetzt ist es ja das Eine, dass es dieses Format gibt und es dies, das und jenes bietet. Aber was mache ich als Anwender damit? Es gibt jede Menge Programme, die WebP anzeigen können. Praktisch alle gängigen Browser sind darunter zu finden: Chrome, Edge, Safari, Firefox, Opera, Konqueror. Man hat sich wohl auch mal gedacht, dass WebP das doch in die Jahre gekommene Format JPEG mal ablösen würde. Dazu kam es aber noch nicht.
Ach ja, auch WordPress kann WebP verwenden. Das muss euch als Besucher nicht weiter kümmern, aber gehen tut es. Dazu kommen Grafikprogramme wie Photoshop oder – zum Teil mit Plugins – GIMP oder IrfanView damit klar. Und die Sticker in den angesagten Messengern sind auch in dem Format. Tja, da muss man schon lange nachdenken, um Einsatzmögluchkeiten zu finden, in denen WebP nicht vorkommt. Und dann das.
Kritische Schwachstelle
Unter CVE-2023-5129 ist von einer Schwachstelle in der der Bibliothek Libwebp die Rede. Mit einem Pufferüberlauf ist es Angreifern möglich, Schadcode auszuführen. Erst dachte man, es hätte etwas mit dem Chrome Browser zu tun, weshalb es hier auch Updates gibt. Aber es betrifft – wie oben beschrieben – etliche Dinge mehr. Die Schwachstelle hat mittlerweile den „maximalen Schweregrad“ erreicht. Und ich habe mitbekommen, dass sie auch ausgenutzt wird.
Jetzt ist die spannende Frage, wie man sich in der Situation verhalten soll. Ich meine, das Internet lebt von Bildern. Wir können aber unterm Strich festhalten, dass es wieder einmal gilt: Haltet eure Software aktuell. Viele Anbieter haben, nachdem das Problem bekannt wurde, wie verrückt Updates erarbeitet. Die Browser könnt ihr auf jeden Fall aktualisieren. Aber auch etliche Software-Produkte wurden aktualisiert. Nehmt das nicht auf die leichte Schulter, aber das ist dann eigentlich klar, oder?
Aber was wird mit dem Internet an sich passieren? Ich meine, die Weiterentwicklung lässt sich wahrscheinlich eh nicht aufhalten. Aber werden durch so einen Vorfall weniger Bilder verteilt? Kommt die Verteilung von WebP zum Erliegen? Wird das Internet wieder langsamer? Was solche Sachen auslösen können, können wir ja anhand vieler anderer Vorfälle sehen. Wir erleben es tagtäglich bei unseren Kunden. Dann seht lieber zu, dass ihr Software nutzt, die aktiv gepflegt wird. Andere ist es dann halt nicht wert.
Henning, was heißt das für Blogger nun genau? Soll man als Blogger WebP nicht mehr verwenden? Ich halte WordPress und Browser natürlich aktuell. Das ist klar.
Lorenzo
Hallo Henning,
zuallererst muss ich sagen, dass du einen treffenden Nerv mit deinem Artikel über WebP getroffen hast! Wir bei Sumasearch haben uns in den letzten Tagen intensiv mit genau diesem Thema auseinandergesetzt und ja, die aktuellen Nachrichten rund um diese Schwachstelle haben uns wirklich kalt erwischt.
WebP ist seit Jahren ein zentrales Element unserer Marketingstrategien. Warum? Weil es, wie du so treffend beschrieben hast, im Internet enorm wichtig ist, die Ladezeiten zu reduzieren und gleichzeitig eine hohe Bildqualität zu gewährleisten. Und hier schien WebP das Nonplusultra zu sein. Aber wie es oft so ist: Wenn etwas zu schön klingt, um wahr zu sein, dann lauert oft irgendwo ein Haken.
Dein Abschnitt über die kritische Schwachstelle hat mir ehrlich gesagt Gänsehaut bereitet. Dass unschuldig aussehende Bilder eine solche Gefahrenquelle sein können, ist wirklich ein erschreckender Gedanke. Aber es erinnert uns auch daran, wie wichtig es ist, stets wachsam zu bleiben, wenn es um technologische Neuerungen und deren Umsetzung geht.
Deine abschließende Frage, wie sich dieser Vorfall auf das Internet auswirken wird, gibt uns ebenfalls zu denken. Werden wir wieder zurück in die Zeit der langsameren Internetgeschwindigkeiten katapultiert? Oder lernen wir daraus, bessere, sicherere Technologien zu entwickeln? Das bleibt abzuwarten.
Eines steht aber fest: Dein Rat, stets aktuelle Software zu nutzen und auf Aktualisierungen zu achten, kann nicht oft genug wiederholt werden. Es ist so einfach und doch so wichtig. Wir werden sicherstellen, dass alle unsere Kunden informiert sind und entsprechende Maßnahmen ergreifen.
Danke für diesen wertvollen Beitrag, Henning. Wir schätzen es, wenn jemand so scharfsinnig und informativ über aktuelle Entwicklungen berichtet. Das hält uns alle auf Trab und erinnert uns daran, stets auf der Hut zu sein. Weiter so!
Mit besten Grüßen,
Šukri