您的當前位置:首頁 > 焦點 > 谷歌給WebP漏洞申請專屬漏洞編號 同時給出了滿分(10分)的危害評分 – 藍點網(wǎng) 正文
時間:2025-12-08 05:44:26 來源:網(wǎng)絡(luò)整理 編輯:焦點
谷歌日前申請了一個新漏洞編號:CVE-2023-5129,該漏洞編號對應(yīng)的就是 WebP 圖像開源庫 libwebp 中的安全漏洞,這個漏洞已經(jīng)被商業(yè)間諜軟件開發(fā)商利用,用來攻擊 iPhone 用戶。
谷歌日前申請了一個新漏洞編號:CVE-2023-5129,谷歌給該漏洞編號對應(yīng)的洞申洞編的危點網(wǎng)就是 WebP 圖像開源庫 libwebp 中的安全漏洞,這個漏洞已經(jīng)被商業(yè)間諜軟件開發(fā)商利用,請專用來攻擊 iPhone 用戶。屬漏
最初這個漏洞的號同害評編號是 CVE-2023-4863,CVSS 平分為 8.8 分 / 10 分,出滿漏洞描述是分分分藍 Chrome 瀏覽器中 WebP 緩沖區(qū)溢出,這允許攻擊者進行越界內(nèi)存寫入。谷歌給
但谷歌覺得這個漏洞的洞申洞編的危點網(wǎng)影響實在太大,這可能是請專谷歌創(chuàng)造 WebP 圖像格式至今,發(fā)生的屬漏最大的一起安全問題,谷歌覺得有必要重新申請一個 CVE 并給出最高評分讓業(yè)界關(guān)注,號同害評尤其是出滿要向社區(qū)澄清這個漏洞是 libwebp 開源庫的,不是分分分藍 Chrome 的,僅僅是谷歌給 Chrome 修復(fù)漏洞無濟于事。
為什么能給出滿分的評級:
WebP 是谷歌創(chuàng)造的一種壓縮圖片格式(前身是 VP8,但 VP8 并非谷歌開發(fā),而是谷歌收購的技術(shù)),目前已經(jīng)被所有主流瀏覽器、相當多的軟件使用,軟件要想支持 WebP 需要引入 libwebp 開源庫,而漏洞就在這個開源庫里。
也就是說理論上只要某個軟件支持加載 WebP 圖像那么它必然是引入了 libwebp 庫,所以存在風(fēng)險。
昨天藍點網(wǎng)也提到,國內(nèi)安全公司深藍檢測微信、釘釘、QQ 等軟件,發(fā)現(xiàn)這些軟件都引入了 libwebp 庫,但到現(xiàn)在都還沒有更新,受到這枚漏洞的影響。
潛在的攻擊:
最初該系列漏洞是公民實驗室發(fā)現(xiàn)的,公民實驗室發(fā)現(xiàn)臭名昭著的商業(yè)間諜軟件開發(fā)商 NSO 開采了一枚新的 0-day,NSO 的商業(yè)間諜軟件飛馬座 (Pegasus) 使用了零點擊漏洞,即只需要知道目標 iPhone 用戶的手機號碼或 iMessage 號碼,向其發(fā)送特制消息即可感染 iPhone,全程無需用戶進行任何交互,進而實現(xiàn)全方位監(jiān)控。
公民實驗室提到的這個漏洞編號是 CVE-2023-41064,并不是 libwebp 漏洞,但隨后公民實驗室和蘋果聯(lián)合通報了 Chrome 中的越界寫入,這個漏洞就是 libwebp 漏洞 (CVE-2023-4863)。
安全咨詢公司創(chuàng)始人 Ben Hawkes (前 Google Zero 安全團隊的負責(zé)人) 將 CVE-2023-4863 與 iMessage 零點擊漏洞聯(lián)系了起來,因為 NSO 同時使用了這些漏洞。
目前 libwebp 開源庫的這個漏洞 PoC 已經(jīng)暴露在網(wǎng)上,被利用只是時間問題,這么說不對,應(yīng)該說利用已經(jīng)開始了,畢竟黑客們可是非常積極的。
谷歌單獨申請了一個編號就是希望提醒業(yè)界趕緊修復(fù)起來,不然這可能會造成一次嚴重的安全危機。
《洛奇》揚帆起航 蔚藍水手歡樂上線2025-12-08 05:43
細益供細三周年《齊仄易太古跡MU》新版本大年夜竄改盤面2025-12-08 05:25
八重豪禮喜迎MOBA2.0《自正在之戰(zhàn)2》安卓渠講測試禍利盤面2025-12-08 05:18
體驗與眾分歧的建仙興趣 《沒有朽凡是人》安卓測試本日開啟2025-12-08 05:01
《哈利·波特:魁地奇錦標賽》官方預(yù)告片公布9月3日登陸PC2025-12-08 04:55
《太空諜影2》正式公布 尾支預(yù)報戰(zhàn)大年夜量細節(jié)2025-12-08 04:36
下玩挨制《龍珠》定格動繪賀新年 貝兇塔酷炫回旋踢2025-12-08 04:36
2米哥斯推雕像表態(tài)東京動漫展 三大年夜新怪物設(shè)念圖公開2025-12-08 04:23
恐怖游戲新作《KLETKA》Steam推出體驗版可以4名玩家聯(lián)機2025-12-08 04:23
《孤島驚魂:新曙光》真機演示 陳花謙天的興土2025-12-08 03:16
視覺小講絕做《牛奶袋中袋拆牛奶》出售 支成好評如潮2025-12-08 04:44
TGA 2018:《龍騰世紀》新做公布 驚駭之狼崛起2025-12-08 04:25
突圍上圓谷 《少年三國志》齊新版本本日上線2025-12-08 04:17
《王國之心3》明年1月份發(fā)售 計劃DLC擴展內(nèi)容2025-12-08 04:15
喬治·R.R·馬丁評《權(quán)游》前傳《龍之家屬》:非常等候2025-12-08 03:48
《任務(wù)吸喚15:玄色止動4》下周將迎多項更新 新專家烏客姐姐參戰(zhàn)2025-12-08 03:46
萬眾等候 《阿瓦隆之王》尾屆季頂峰聯(lián)賽即將開端2025-12-08 03:18
小熊的圣誕禮物的故事2025-12-08 03:17
Steam周銷量排止榜:V社新做《Artifact》勝利登頂 《盡天供逝世》松隨厥后位居榜單第兩2025-12-08 03:02
