WebP 图像编解码库 libwebp 存在堆缓冲区溢出漏洞 (CVE-2023-4863),攻击者可以通过发送植入恶意代码的 WebP 图像获得设备的部分权限。
由于 libwebp 的使用范围广泛,不仅应用于各大浏览器,还包含在系统的底层库中 (例如 Android),以及目前满大街都是的 Electron 中无一例外均使用了 libwebp 库。请各位尽快更新浏览器及使用 Electron 技术的相关应用。
但 CVE-2023-4863 并未包含在 Google 即将在下月发布的 10 月安全更新之中 (一般 Google 会提前半个月至一个月向合作厂商发布下月安全补丁,以便厂商能够迅速修复漏洞),考虑到该漏洞已经可能有野外利用的例子,Android 设备目前相对而言还是比较危险的,不知 Google 后续是否有额外更新计划来紧急修复该漏洞。否则按现有更新计划,可能就要等到 11 月安全补丁才会修复了。
也希望 Google 能够像之前爆出蓝牙漏洞时那样,为已经停止支持的旧设备 (如 Pixel 4a) 提供计划外安全更新。
补充:根据 Mishaal Rahman 老师的消息,Google 有可能推出 2023-10-06 安全补丁等级来专门修复该漏洞,但若厂商无意更新,则还要迟至 11 月安全补丁才会修复。(来源)
了解更多漏洞详情可以参考这篇文章:
https://blog.isosceles.com/the-webp-0day
由于 libwebp 的使用范围广泛,不仅应用于各大浏览器,还包含在系统的底层库中 (例如 Android),以及目前满大街都是的 Electron 中无一例外均使用了 libwebp 库。请各位尽快更新浏览器及使用 Electron 技术的相关应用。
但 CVE-2023-4863 并未包含在 Google 即将在下月发布的 10 月安全更新之中 (一般 Google 会提前半个月至一个月向合作厂商发布下月安全补丁,以便厂商能够迅速修复漏洞),考虑到该漏洞已经可能有野外利用的例子,Android 设备目前相对而言还是比较危险的,不知 Google 后续是否有额外更新计划来紧急修复该漏洞。否则按现有更新计划,可能就要等到 11 月安全补丁才会修复了。
也希望 Google 能够像之前爆出蓝牙漏洞时那样,为已经停止支持的旧设备 (如 Pixel 4a) 提供计划外安全更新。
补充:根据 Mishaal Rahman 老师的消息,Google 有可能推出 2023-10-06 安全补丁等级来专门修复该漏洞,但若厂商无意更新,则还要迟至 11 月安全补丁才会修复。(来源)
了解更多漏洞详情可以参考这篇文章:
https://blog.isosceles.com/the-webp-0day
