谷歌為libwebp漏洞分配新的CVE編號(hào)，CVSS評(píng)分10分。

Libwebp是一個(gè)用于處理WebP格式圖像編解碼的開源庫。9月6日，蘋果公司安全工程和架構(gòu)（SEAR）部門和加拿大多倫多大學(xué)研究人員在libwebp庫中發(fā)現(xiàn)了一個(gè)0 day漏洞，隨后，谷歌將該漏洞分類為Chrome漏洞，CVE編號(hào)CVE-2023-4863，并于1周后修復(fù)了該漏洞。

9月21日，安全研究人員Ben Hawkes將該漏洞與CVE-2023-41064相鏈接被用于零點(diǎn)擊的iMessage漏洞利用鏈以感染iPhone設(shè)備。

CVE-2023-5129：libwebp開源庫10分漏洞

9月25日，谷歌將該漏洞重新歸類為了libwebp中的堆溢出漏洞，并為該漏洞重新分配了CVE編號(hào)CVE-2023-5129，CVSS評(píng)分10分。漏洞影響谷歌Chrome瀏覽器116.0.5845.187以前版本，漏洞的重新分類對(duì)使用libwebp開源庫的項(xiàng)目帶來重大影響，包括1Password、Signal、Safari、Mozilla Firefox、Microsoft Edge、Opera以及原生 Android web瀏覽器。

該漏洞存在于libwebp庫使用的哈夫曼編碼(Huffman Coding)算法ReadHuffmanCodes()中。攻擊者利用該漏洞可以通過惡意偽造的HTML頁面實(shí)現(xiàn)越界內(nèi)存寫操作，引發(fā)軟件崩潰、任意代碼執(zhí)行、敏感信息非授權(quán)訪問等嚴(yán)重后果。

文章翻譯自：https://www.bleepingcomputer.com/news/security/google-assigns-new-maximum-rated-cve-to-libwebp-bug-exploited-in-attacks/如若轉(zhuǎn)載，請(qǐng)注明原文地址