如果你正在使用谷歌 Chrome 瀏覽器、Mozilla 的火狐 Firefox 瀏覽器, 那么請盡快升級到最新版本。
Chrome最新版本為Chrome 117.0.5938.132
Firefox最新版本為Firefox 118.0.1
請盡快升級!!
谷歌日前申請了一個新漏洞編號:CVE-2023-5129,該漏洞編號對應的就是 WebP 圖像開源庫 libwebp 中的安全漏洞,這個漏洞已經被商業間諜軟件開發商利用,用來攻擊 iPhone 用戶。
最初這個漏洞的編號是 CVE-2023-4863,CVSS 平分為 8.8 分 / 10 分,漏洞描述是 Chrome 瀏覽器中 WebP 緩沖區溢出,這允許攻擊者進行越界內存寫入。
但谷歌覺得這個漏洞的影響實在太大,這可能是谷歌創造 WebP 圖像格式至今,發生的最大的一起安全問題,谷歌覺得有必要重新申請一個 CVE 并給出最高評分讓業界關注,尤其是要向社區澄清這個漏洞是 libwebp 開源庫的,不是 Chrome 的,僅僅是 Chrome 修復漏洞無濟于事。
為什么能給出滿分的評級:
WebP 是谷歌創造的一種壓縮圖片格式(前身是 VP8,但 VP8 并非谷歌開發,而是谷歌收購的技術),目前已經被所有主流瀏覽器、相當多的軟件使用,軟件要想支持 WebP 需要引入 libwebp 開源庫,而漏洞就在這個開源庫里。
也就是說理論上只要某個軟件支持加載 WebP 圖像那么它必然是引入了 libwebp 庫,所以存在風險。
國內安全公司深藍檢測微信、釘釘、QQ 等軟件,發現這些軟件都引入了 libwebp 庫,但到現在都還沒有更新,受到這枚漏洞的影響。
潛在的攻擊:
最初該系列漏洞是公民實驗室發現的,公民實驗室發現臭名昭著的商業間諜軟件開發商 NSO 開采了一枚新的 0-day,NSO 的商業間諜軟件飛馬座 (Pegasus) 使用了零點擊漏洞,即只需要知道目標 iPhone 用戶的手機號碼或 iMessage 號碼,向其發送特制消息即可感染 iPhone,全程無需用戶進行任何交互,進而實現全方位監控。
公民實驗室提到的這個漏洞編號是 CVE-2023-41064,并不是 libwebp 漏洞,但隨后公民實驗室和蘋果聯合通報了 Chrome 中的越界寫入,這個漏洞就是 libwebp 漏洞 (CVE-2023-4863)。
安全咨詢公司創始人 Ben Hawkes (前 Google Zero 安全團隊的負責人) 將 CVE-2023-4863 與 iMessage 零點擊漏洞聯系了起來,因為 NSO 同時使用了這些漏洞。
目前 libwebp 開源庫的這個漏洞 PoC 已經暴露在網上,被利用只是時間問題,這么說不對,應該說利用已經開始了,畢竟黑客們可是非常積極的。
谷歌單獨申請了一個編號就是希望提醒業界趕緊修復起來,不然這可能會造成一次嚴重的安全危機。
安全圈
CNCERT國家工程研究中心
一顆小胡椒
嘶吼專業版
安全客
嘶吼專業版
看雪學苑
D1Net
GoUpSec
D1Net
奇安信集團
一顆小胡椒
