【預警】webp圖片處理組件漏洞

漏洞描述:

CVE-2023-4863 是 WebP 中的一个严重堆缓冲区溢出漏洞,WebP 是一种替代 JPEG、PNG 和 GIF 文件格式的光栅图形文件格式。

缓冲区溢出可能导致崩溃、无限循环,并可用于执行任意代码。

漏洞影響:

该漏洞可被用于远程代码执行,已出现在野利用,webp图片处理组件由google维护并开源,在移动、PC、服务端图片处理场景被广泛被引用。大多数浏览器(Chrome、Firefox、Breve、Tor 浏览器等)、许多 Linux 发行版(Ubuntu、Debian、Gentoo、SUSE 等) .)、密码管理器(1Password、BitWarden 等)和其他软件(MS Teams、Slack、Telegram、Signal、Basecamp、Discord、GitHub Desktop 等)。

影响版本:

libwebp <= 0.5 和 < 1.3.2
chromium/chrome < 116.0.5845.187

漏洞驗證:

https://github.com/mistymntncop/CVE-2023-4863

漏洞參考:

https://nvd.nist.gov/vuln/detail/CVE-2023-4863
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html?m=1

 

原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/tw/webp-codec-library-vulnerability-html

讚! (1)
以前的 2023年9月23日上午8:30
下一個 2023年10月9日下午12:00

相關推薦