Google 日前公告 libwebp 圖像資料庫中的一個關鍵漏洞,CVE-2023-5129(CVSS分數:10分 )。目前得知CVE-2023-5129已在野外被積極利用。CVE-2023-5129被描述為根源於霍夫曼編碼演算法( Huffman coding algorithm )的問題。
在CVE-2023-5129被披露前,Apple、Google和Mozilla曾發布修復程式修補
CVE-2023-41064 和 CVE-2023-4863這兩個漏洞。這兩個漏洞可能導致在處理特製圖像時執行任意程式碼,並被認為與CVE-2023-5129高度相關。
相關文章: Mozilla 緊急修補 Firefox、Thunderbird 已遭用於駭侵攻擊的 0-day 漏洞
外媒報導,名為 BLASTPASS 的零點擊 iMessage 漏洞利用鏈中有使用CVE-2023-41064 漏洞並交互另一個漏洞 CVE-2023-41061 用來部署名為 Pegasus 的間諜軟體。目前尚不清楚其他技術細節。
CVE-2023-4863實際上還影響了所有其他依賴libwebp 庫處理WebP 圖像的應用程序,這表明它的影響比之前想像的更廣泛。
Rezillion 近期的一項分析揭露一系列廣泛使用的應用程式、程式碼庫、框架和作業系統,這些應用程式、程式碼庫、框架和作業系統都容易受到 CVE-2023-4863 的影響。
Rezillion表示,libwebp在圖檔尺寸和速度方面優於 JPEG 和 PNG。因此,市面上有大量的軟體、應用程式和軟體包都採用libwebp,因而擴大了攻擊面。
Google擴大CVE-2023-4863 的修復範圍,已將 ChromeOS 和 ChromeOS Flex納入其中,並發布版本 15572.50.0(瀏覽器版本 117.0.5938.115)。
本文轉載自TheHackerNews。