【警告】Webp画像処理コンポーネントの脆弱性

脆弱性の説明:

CVE-2023-4863は、JPEG、PNG、GIFファイルフォーマットに代わるラスターグラフィックファイルフォーマットであるWebPにおけるヒープバッファオーバーフローの重大な脆弱性です。

バッファオーバーフローは、クラッシュや無限ループを引き起こし、任意のコードを実行するために使われる可能性がある。

脆弱性の影響:

webp 画像処理コンポーネントは、google によって保守され、オープンソース化されており、モバイル、PC、サーバーサイドの画像処理シナリオで広く参照されています。ほとんどのブラウザ(Chrome、Firefox、Breve、Tor Browserなど)、多くのLinuxディストリビューション(Ubuntu、Debian、Gentoo、SUSEなど)。パスワードマネージャー(1Password、BitWardenなど)、その他のソフトウェア(MS Teams、Slack、Telegram、Signal、Basecamp、Discord、GitHub Desktopなど)。

インパクト・バージョン:

libwebp <= 0.5 および < 1.3.2
クロム/クロム < 116.0.5845.187

脆弱性の検証:

https://github.com/mistymntncop/CVE-2023-4863

脆弱性のリファレンス:

https://nvd.nist.gov/vuln/detail/CVE-2023-4863
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html?m=1

 

元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/webpコーデックライブラリの脆弱性-html。

のように (1)
前の 2023年9月23日午前8時30分
2023年10月9日午後12時

関連する提案