脆弱性の説明:

CVE-2023-4863は、JPEG、PNG、GIFファイルフォーマットに代わるラスターグラフィックファイルフォーマットであるWebPにおけるヒープバッファオーバーフローの重大な脆弱性です。

バッファオーバーフローは、クラッシュや無限ループを引き起こし、任意のコードを実行するために使われる可能性がある。

脆弱性の影響:

webp 画像処理コンポーネントは、google によって保守され、オープンソース化されており、モバイル、PC、サーバーサイドの画像処理シナリオで広く参照されています。ほとんどのブラウザ（Chrome、Firefox、Breve、Tor Browserなど）、多くのLinuxディストリビューション（Ubuntu、Debian、Gentoo、SUSEなど）。パスワードマネージャー（1Password、BitWardenなど）、その他のソフトウェア（MS Teams、Slack、Telegram、Signal、Basecamp、Discord、GitHub Desktopなど）。

インパクト・バージョン：

libwebp <= 0.5 および < 1.3.2
クロム/クロム < 116.0.5845.187

脆弱性の検証:

https://github.com/mistymntncop/CVE-2023-4863

脆弱性のリファレンス:

https://nvd.nist.gov/vuln/detail/CVE-2023-4863
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html?m=1

元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/webp-codec-library-vulnerability.html。

【警告】Webp画像処理コンポーネントの脆弱性

脆弱性の説明:

脆弱性の影響:

インパクト・バージョン：

脆弱性の検証:

脆弱性のリファレンス:

著者について

最高セキュリティ責任者

【警告】Webp画像処理コンポーネントの脆弱性

脆弱性の説明:

脆弱性の影響:

インパクト・バージョン：

脆弱性の検証:

脆弱性のリファレンス:

著者について

最高セキュリティ責任者

関連する提案

WPS Office for Windows は、特定の OLE メカニズムのリモート コードの脆弱性に対処しています

DevOps プラットフォーム GitLab リモート コード実行 (RCE) の脆弱性

天府杯ハッキングコンテストでホワイトハッカーがiPhone 13の最高の制御権を獲得

米国への報復としてハッカーが1億T-Mobileユーザーデータを盗む

マルウェア 身代金要求団 ロックビットの謎

暗号通貨ウォレット台帳のサプライチェーンの脆弱性により、仮想資産60万ドルが盗まれる

WPS Office for Windows は、特定の OLE メカニズムのリモートコードの脆弱性に対処しています

DevOps プラットフォーム GitLab リモートコード実行 (RCE) の脆弱性

マルウェア身代金要求団ロックビットの謎