脆弱性の説明:

CVE-2023-4863は、JPEG、PNG、GIFファイルフォーマットに代わるラスターグラフィックファイルフォーマットであるWebPにおけるヒープバッファオーバーフローの重大な脆弱性です。

バッファオーバーフローは、クラッシュや無限ループを引き起こし、任意のコードを実行するために使われる可能性がある。

脆弱性の影響:

webp 画像処理コンポーネントは、google によって保守され、オープンソース化されており、モバイル、PC、サーバーサイドの画像処理シナリオで広く参照されています。ほとんどのブラウザ（Chrome、Firefox、Breve、Tor Browserなど）、多くのLinuxディストリビューション（Ubuntu、Debian、Gentoo、SUSEなど）。パスワードマネージャー（1Password、BitWardenなど）、その他のソフトウェア（MS Teams、Slack、Telegram、Signal、Basecamp、Discord、GitHub Desktopなど）。

インパクト・バージョン：

libwebp <= 0.5 および < 1.3.2
クロム/クロム < 116.0.5845.187

脆弱性の検証:

https://github.com/mistymntncop/CVE-2023-4863

脆弱性のリファレンス:

https://nvd.nist.gov/vuln/detail/CVE-2023-4863
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html?m=1

元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/webpコーデックライブラリの脆弱性-html。

【警告】Webp画像処理コンポーネントの脆弱性

脆弱性の説明:

脆弱性の影響:

インパクト・バージョン：

脆弱性の検証:

脆弱性のリファレンス:

著者について

最高セキュリティ責任者

【警告】Webp画像処理コンポーネントの脆弱性

脆弱性の説明:

脆弱性の影響:

インパクト・バージョン：

脆弱性の検証:

脆弱性のリファレンス:

著者について

最高セキュリティ責任者

関連する提案

ハープーン攻撃：ユントゥ組織、ロシアの農業・科学機関を標的に

Apache Log4j2 コンポーネントが再び高リスクの脆弱性、サービス拒否 (CVE-2021-45105) にさらされました。

Predator ソフトウェアが Apple のゼロデイ脆弱性を悪用してエジプト政府を攻撃

HTML 密輸は、マルウェアやフィッシング攻撃でハッカーによって頻繁に使用されます。

マンティス：パレスチナ標的への攻撃に使用された新ツール

米国の銀行はサイバー攻撃を36時間以内に報告する必要がある