Und zwar im Moment ein ziemliches Sicherheitsrisiko. Der CVE-2023-5129 dazu. Dazu muss man sagen, Google hat dieses Grafikformat sehr aggressiv auf den Markt gepusht. Selbst bei top-optimierten Webseiten, schlägt Google Pagespeed immer noch vor man möge auf dieses Format wechseln, sonst erreicht man kaum die maximalen Punkte im Index. Nun, auch JPG und PNG waren und sind wahrscheinlich immer noch angreifbar, aber trotzdem gerade ganz blöd.
nn
Betroffen ist die weit verbreitete Referenzimplementierung libwebp.
nn
Im Kontext von Webbrowsern ist immer wieder die Rede von präparierten HTML-Websites. Das klingt so, als würde der Besuch einer Website mit einer mit Schadcode manipulierten WebP-Grafik eine Attacke einleiten können. Ist ein Angriff erfolgreich, gelangt Schadcode auf Systeme.
nn
Update: Auch Googles VP8 Codec hat ein Problem.