谷歌计划在 2023-10-06 安全补丁中修复 WebP 编解码器的严重漏洞
最近你应该听说的 WebP 编解码器的严重漏洞(CVE-2023-4863),这个漏洞涉及到 WebP 图像格式中的堆缓冲区溢出。
由于 WebP 0-day 漏洞的严重性以及媒体的关注,Google 和 OEM 制造商正在紧急修复。
Google 计划在 2023-10-06 安全补丁级别的 Android 设备上修复此漏洞。因此,如果你的设备没有接收到更新并且 SPL 显示为“2023-10-06”的安全补丁,那么,你将需要等待 2023-11-01(2023年11月)的 SPL 更新。
—— Mishaal Rahman 频道
严重的 WebP 错误:不仅仅是浏览器许多应用都受到威胁
这个新发现的漏洞,被标识为CVE-2023-4863,涉及到 WebP 图像格式中的堆缓冲区溢出。Chrome 和 Firefox 等浏览器使用 WebP 来进行高效的图像压缩。但不仅仅是浏览器许多应用都受此漏洞影响,只要使用 libwebp 库的都有。
图像查看器:Honeyview 版本 v5.51 (已修复)
開源框架:Electron 版本 v27.0.0-beta.2 (已修复)
密码管理:1Password for Mac 版本 8.10.15 (已修复)
Telegram Desktop:版本 v 4.9.7(已修复)
请尽快更新到以上新版本。
许多应用程序使用 libwebp 来渲染 WebP 图像,上面已经提到了其中一些,但还有知道的其他一些包括:Affinity(设计软件)、Gimp、Inkscape、LibreOffice、Telegram、Thunderbird(现已修复)、ffmpeg,以及许多的 Android 应用,还有使用 Flutter 构建的跨平台应用。
—— Stack Diary
Chrome、Firefox、Brave 和 Edge 刚刚修复了一个被利用的 0day
WebP 编解码器中发现了重大漏洞,促使包括 Google 和 Mozilla 在内的主要浏览器加快发布更新来解决该问题。
这个新发现的漏洞,被标识为CVE-2023-4863,涉及到 WebP 图像格式中的堆缓冲区溢出。Chrome 和 Firefox 等浏览器使用 WebP 来进行高效的图像压缩。对这个漏洞的恶意利用可能会危及数百万互联网用户的安全。
包含修复程序的软件版本号如下:
谷歌: Chrome版本 116.0.5846.187(Mac / Linux);Chrome版本 116.0.5845.187/.188(Windows)
Mozilla: Firefox 117.0.1;Firefox ESR 102.15.1;Firefox ESR 115.2.1;Thunderbird 102.15.1;Thunderbird 115.2.2
微软: Edge版本 116.0.1938.81
Brave: Brave 浏览器版本 1.57.64
请尽快更新到以上新版本。
—— Stack Diary