谷歌日前申請(qǐng)了一個(gè)新漏洞編號(hào):CVE-2023-5129,谷歌給該漏洞編號(hào)對(duì)應(yīng)的洞申洞編的危點(diǎn)網(wǎng)就是 WebP 圖像開(kāi)源庫(kù) libwebp 中的安全漏洞,這個(gè)漏洞已經(jīng)被商業(yè)間諜軟件開(kāi)發(fā)商利用,請(qǐng)專北京西城高級(jí)資源上門按摩服務(wù)vx《1662+044+1662》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)用來(lái)攻擊 iPhone 用戶。屬漏
最初這個(gè)漏洞的號(hào)同害評(píng)編號(hào)是 CVE-2023-4863,CVSS 平分為 8.8 分 / 10 分,出滿漏洞描述是分分分藍(lán) Chrome 瀏覽器中 WebP 緩沖區(qū)溢出,這允許攻擊者進(jìn)行越界內(nèi)存寫(xiě)入。谷歌給
但谷歌覺(jué)得這個(gè)漏洞的洞申洞編的危點(diǎn)網(wǎng)影響實(shí)在太大,這可能是請(qǐng)專谷歌創(chuàng)造 WebP 圖像格式至今,發(fā)生的屬漏最大的一起安全問(wèn)題,谷歌覺(jué)得有必要重新申請(qǐng)一個(gè) CVE 并給出最高評(píng)分讓業(yè)界關(guān)注,號(hào)同害評(píng)尤其是出滿北京西城高級(jí)資源上門按摩服務(wù)vx《1662+044+1662》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)要向社區(qū)澄清這個(gè)漏洞是 libwebp 開(kāi)源庫(kù)的,不是分分分藍(lán) Chrome 的,僅僅是谷歌給 Chrome 修復(fù)漏洞無(wú)濟(jì)于事。
為什么能給出滿分的評(píng)級(jí):
WebP 是谷歌創(chuàng)造的一種壓縮圖片格式(前身是 VP8,但 VP8 并非谷歌開(kāi)發(fā),而是谷歌收購(gòu)的技術(shù)),目前已經(jīng)被所有主流瀏覽器、相當(dāng)多的軟件使用,軟件要想支持 WebP 需要引入 libwebp 開(kāi)源庫(kù),而漏洞就在這個(gè)開(kāi)源庫(kù)里。
也就是說(shuō)理論上只要某個(gè)軟件支持加載 WebP 圖像那么它必然是引入了 libwebp 庫(kù),所以存在風(fēng)險(xiǎn)。
昨天藍(lán)點(diǎn)網(wǎng)也提到,國(guó)內(nèi)安全公司深藍(lán)檢測(cè)微信、釘釘、QQ 等軟件,發(fā)現(xiàn)這些軟件都引入了 libwebp 庫(kù),但到現(xiàn)在都還沒(méi)有更新,受到這枚漏洞的影響。
潛在的攻擊:
最初該系列漏洞是公民實(shí)驗(yàn)室發(fā)現(xiàn)的,公民實(shí)驗(yàn)室發(fā)現(xiàn)臭名昭著的商業(yè)間諜軟件開(kāi)發(fā)商 NSO 開(kāi)采了一枚新的 0-day,NSO 的商業(yè)間諜軟件飛馬座 (Pegasus) 使用了零點(diǎn)擊漏洞,即只需要知道目標(biāo) iPhone 用戶的手機(jī)號(hào)碼或 iMessage 號(hào)碼,向其發(fā)送特制消息即可感染 iPhone,全程無(wú)需用戶進(jìn)行任何交互,進(jìn)而實(shí)現(xiàn)全方位監(jiān)控。
公民實(shí)驗(yàn)室提到的這個(gè)漏洞編號(hào)是 CVE-2023-41064,并不是 libwebp 漏洞,但隨后公民實(shí)驗(yàn)室和蘋果聯(lián)合通報(bào)了 Chrome 中的越界寫(xiě)入,這個(gè)漏洞就是 libwebp 漏洞 (CVE-2023-4863)。
安全咨詢公司創(chuàng)始人 Ben Hawkes (前 Google Zero 安全團(tuán)隊(duì)的負(fù)責(zé)人) 將 CVE-2023-4863 與 iMessage 零點(diǎn)擊漏洞聯(lián)系了起來(lái),因?yàn)?NSO 同時(shí)使用了這些漏洞。
目前 libwebp 開(kāi)源庫(kù)的這個(gè)漏洞 PoC 已經(jīng)暴露在網(wǎng)上,被利用只是時(shí)間問(wèn)題,這么說(shuō)不對(duì),應(yīng)該說(shuō)利用已經(jīng)開(kāi)始了,畢竟黑客們可是非常積極的。
谷歌單獨(dú)申請(qǐng)了一個(gè)編號(hào)就是希望提醒業(yè)界趕緊修復(fù)起來(lái),不然這可能會(huì)造成一次嚴(yán)重的安全危機(jī)。